hi !!

ich habe da so ein störendes problem mit ad-ware !!

jedes mal wenn ich ein inet-fenster mit beliebiger hp öffne, wechselt nach ein paar minuten die seite auf "h**p://advertisement.*vh.*rg" !!!

ich habe sämtliche viren-killer und ad-ware remover drüber gejagt, aber leider ohne erfolg !!! :mad:

hat jemand ein tip, wie dieses super-lästige ad proggi loswerde ???

ich unterstelle dir mit posten dieses links mal keine absicht..

alle anderen!!!!

NICHT DEN LINK AUFRUFEN !!!

zum entfernen.. Inet kappen , spywarescanner renne lasse , antivirus renne lasse und direkt (nicht wie beschrieben) die 2 regkeys sowie das tool laufen lassen.

>>>>> http://virus-protect.net/artikel/spyware/spyaxe.html

...die seite selber ist harmlos, ich hab nur aus versehen eine unbekannte datei geöffnet, und seit dem werde ich immer auf diese besch*** seite verlinkt!!!

mit den tip´s von http://virus-protect.net/artikel/spyware/spyaxe.html klappt das auch nicht, scheint was anderes zu sein, leider. :mad:

sorry aber irgendwas stimmt mit deiner aussage nicht.

Sobald man die seite besucht wird ein trojaner geladen welcher unzählige trojaner hinterherladet..

darunter spyaxe (auch unter anderem namen)

also vergiss mal ganz schnell deine aussage die seite ist harmlos.

die regkeys und das tool löscht genau diese files (trojaner) ..shice egal welchen namen die verwenden.

geladen werden bei besuch der seite des threadstarters...

1. DollarRevenue (Adware)
2. Target Saver (Trojan Loader)
3. Trojan.PayTime (Trojan)
4. SpySheriff (Adware)
5. Adware.cmd Service (Adware)
6. SpyAxe (manchmal) (Adware)
7. Look2Me (Spyware)
8. Small123 TrojanLoader (Trojan Loader)

...die seite selber ist harmlos, ich hab nur aus versehen eine unbekannte datei geöffnet, und seit dem werde ich immer auf diese besch*** seite verlinkt!!!

mit den tip´s von http://virus-protect.net/artikel/spyware/spyaxe.html klappt das auch nicht, scheint was anderes zu sein, leider. :mad:

so machen wie ichs sage.

INET Kappem , Systemrestore deaktivieren, Adaware Full Scann laufen lassen , Antivirus Full Scan laufen lassen , (MS Antispy laufen lassen da dieser alle Trackingsachen löschen kann wie zb TEMP, inet Temp usw usw) ,
danach die Regkeys und das Tool (das mit dem Blauen Bildschirm).

Wer behauptet denn dass die Seite einen Trojaner verteilt? Mir erscheint die Seite seriös, auch der Quelltext erscheint auf den ersten Blick sauber. Rückstände kann ich auch keine feststellen... ist aber auch nur ein 60sec. Eindruck...

@psyborg: 'msconfig.exe' zeigt die Autostartprogramme, vielleicht ist da was drin. Überprüfe auch alle Dienste, meistens erkennt man fremde Dienste an fehlender oder englischer Beschreibung. Ansonsten HijackThis Log anfertigen und bitten (beten?) dass dir jemand diesen auswertet.
Falls Du den IE verwendest bei 'Extras\Add-Ons verwalten...' nach auffälligen Plugins Ausschau halten.

Wer behauptet denn dass die Seite einen Trojaner verteilt? Mir erscheint die Seite seriös, auch der Quelltext erscheint auf den ersten Blick sauber. Rückstände kann ich auch keine feststellen... ist aber auch nur ein 60sec. Eindruck...

@psyborg: 'msconfig.exe' zeigt die Autostartprogramme, vielleicht ist da was drin. Überprüfe auch alle Dienste, meistens erkennt man fremde Dienste an fehlender oder englischer Beschreibung. Ansonsten HijackThis Log anfertigen und bitten (beten?) dass dir jemand diesen auswertet.
Falls Du den IE verwendest bei 'Extras\Add-Ons verwalten...' nach auffälligen Plugins Ausschau halten.

habs selbst eben getestet ;) .. sonst wüsste ich nicht dass er es tut.

seite ladet , trojaner wird heruntergeladen , bild wird geöffnet mit windows bildvorschau .. und taaaa taaaa.. trojaner ist installiert.
zumindest mit IE *G*


da ich soweit alle verfügbaren patches installiert habe (auch Gold) denke ich dass dies eine modifizierte version ist welche eine schon ältere lücke noch immer ausnutzen kann (ist ja bekannt dass es davon noch viele gibt und sowas öfters vorkommt).

ist das normal??

O4 - HKLM\..\Run: [easyadvertisement2] C:\WINDOWS\svhost.exe

NEIN!

hast du es jetzt mal so gemacht wie ich sagte?

denn die 2 keys sowie das tool auf der seite killen genau siese tasks und werfen die keys raus.

Bei mir tut sich da nichts mit dem IE. Vielleicht solltest Du dir mal dein System näher anschauen, besonders die HOST Datei...

Bei mir tut sich da nichts mit dem IE. Vielleicht solltest Du dir mal dein System näher anschauen, besonders die HOST Datei...
Gib bitte die Quelle für das Zitat an.

der rechner ist sauber denn nur beim besuch der seite springen alle tools an. vorher wird nichts gefunden.

getestet mit 2 XP installationen welche ich genau für solche spässe habe *G*

Ich dachte Du meintest diesen Link: http://virus-protect.net/artikel/spyware/spyaxe.html

Ich dachte Du meintest diesen Link: http://virus-protect.net/artikel/spyware/spyaxe.html

naaa den oberen *G*

allerdings installiert sich jetzt komischerweise nix mehr bzw versucht es.

entweder das issn popup wo dafür verantwortlich ist und eben dieses wird nicht mehr oder jetzt gerade nicht geladen oder was wes ich.

habs 2x getestet und 2x gleiche disaster gehabt.. 3te mal probiert und die windows bildvorschau geschlossen wärend des ladens [x] <<<.....

nun kommt nix mehr auch nicht bei erneutem aufruf.

aber versuchts lieber nicht..vllt hab ich jetzt so ein chaos im system dass er den trojanerloader nicht aufrufen kann.

werds nochmal nachm reboot testen...

egal wie ich denke das ist die uralte sicherheitslücke (stand in ct und und und.) welche sich noch heute ausnutzen lässt.

Ist ja gerade "in"...

http://img232.imageshack.us/img232/2091/wmf6td.png

...hab leitung gekappt, spy-bot, ad-aware, antivirus proggi und clean-up laufen lassen, dann die 2 reg files gestartet, rebootet....und immer noch das selbe problem!!! :mad:

Hast Du die Prozeduren, die ich in Post #6 genannt habe schon durch? Wenn die "automatischen Programme" versagen, musst Du's selbst versuchen... oder neu installieren.

...hab leitung gekappt, spy-bot, ad-aware, antivirus proggi und clean-up laufen lassen, dann die 2 reg files gestartet, rebootet....und immer noch das selbe problem!!! :mad:

da issn tool dabei

http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

DAD! ..runthis oder so..die musst starten

...ich hab´s glaube ich geschafft !!!


ich habe mit msconfig beim systemstart svhost.exe deaktiviert, dann konnte ich, was vorher leider nicht möglich war, mit hijackthis.exe den eintrag "easyadvertisement2 C:\WINDOWS\svhost.exe" löschen.

ich hab dann zur sicherheit dann noch alle anderen proggis & reg-dateien über das system drübergejagt & dann rebootet!

im task-manager ist der svhost.exe eintrag jetzt endlich weg!! ;D

... mit hijackthis.exe den eintrag "easyadvertisement2 C:\WINDOWS\svhost.exe" löschen.mmm...

Es wundert mich, das niemand ein Log von HijackThis verlangt hat oder auf RunAlyzer (http://www.safer-networking.org/de/runalyzer/) verwiesen hat ... damit könnte man wenigstens nachgucken, ob noch unbekannte/ böse Sachen drauf sind. Alternativ gibt es nur den Tip, das System neu aufzusetzen ...

ich unterstelle dir mit posten dieses links mal keine absicht..

alle anderen!!!!

NICHT DEN LINK AUFRUFEN !!!

zum entfernen.. Inet kappen , spywarescanner renne lasse , antivirus renne lasse und direkt (nicht wie beschrieben) die 2 regkeys sowie das tool laufen lassen.

>>>>> http://virus-protect.net/artikel/spyware/spyaxe.html

Was verbreitest denn Du für Panik.

Ich habe die Seite extra 8 mal angeklickt,auch die Links, nichts passiert.
Jedesmal mit so'nen komischen Doctor drübergegangen ,keine Warnung.
Ein antivirscanner bringt auch keine Warnung raus. :-(

Wenn Du diesen Link meinst (http://virus-protect.net/artikel/spyware/spyaxe.html), der ist in der Tat sauber. Habe ich zuerst auch falsch verstanden. Der schädliche Link ist der, der in der Überschrift steht. Das ist definitiv eine Falle, er nutzt das WMF exploit des IE aus, das erst kürzlich von MS durch einen Patch gestopft wurde.
Wenn (scheinbar) nichts weiter passiert oder "nur" der Explorer abstürzt, konnte sich der Virus erfolgreich installieren. Wenn Du den MS Patch installiert hast, erscheint eine Downloadaufforderung (wie in den Bild oben) für die WMF Datei. Der Exploit wurde dann verhindert.

Wenn Du diesen Link meinst (http://virus-protect.net/artikel/spyware/spyaxe.html), der ist in der Tat sauber. Habe ich zuerst auch falsch verstanden. Der schädliche Link ist der, der in der Überschrift steht. Das ist definitiv eine Falle, er nutzt das WMF exploit des IE aus, das erst kürzlich von MS durch einen Patch gestopft wurde.
Wenn (scheinbar) nichts weiter passiert oder "nur" der Explorer abstürzt, konnte sich der Virus erfolgreich installieren. Wenn Du den MS Patch installiert hast, erscheint eine Downloadaufforderung (wie in den Bild oben) für die WMF Datei. Der Exploit wurde dann verhindert.

Ne,ich hatte diesen Link gemeint: h**p://advertisement.ov*.or*

Ich hatte allerdings vor 3Tagen das Os neu eingespielt mit allen Patches.
Aber eine Downloadaufforderung erscheint nicht.

Ne,ich hatte diesen Link gemeint: h**p://advertisement.ov*.or*

Ich hatte allerdings vor 3Tagen das Os neu eingespielt mit allen Patches.
Aber eine Downloadaufforderung erscheint nicht.


Alle verfügbaren Patches sind installiert sowie GOLD (für Firmenkunden).
neee ich beantworte nicht woher die sind...

Trotzdem führt der Aufruf der Seite zu einer Masseninstallation von Trojanern.

Wenn Du den MS Patch installiert hast, erscheint eine Downloadaufforderung (wie in den Bild oben) für die WMF Datei. Der Exploit wurde dann verhindert.Ähh, aber wenn ich auf einem gepatchten System den Download dann bestätige und die Datei ausführe passiert doch trotzdem nix, oder ?! :| Hat das mal einer probiert ?
Weil der eigentliche Fehler soll doch in der Datei shimgvw.dll liegen, gepatcht wurde aber die gdi32.dll ! :confused:

MfG
Rooter

Ähh, aber wenn ich auf einem gepatchten System den Download dann bestätige und die Datei ausführe passiert doch trotzdem nix, oder ?! :| Hat das mal einer probiert ?
Weil der eigentliche Fehler soll doch in der Datei shimgvw.dll liegen, gepatcht wurde aber die gdi32.dll ! :confused:

MfG
Rooter

es handelt sich hier um eine andere lücke..
vllt sogar 2...

denn es wird durch einen aufruf (ich denke java) eben eine datei aufs system geladen welche sich selbst ausführt.

das ist meines wissens nicht die shmigvw*.* lücke sondern eigentlich eine sehr sehr alte..
und genau das verwirrt mich.

genau Java!!!!!!!!!!!!!
Und wenn ich den Link hier noch einmal sehe bekommt der jenige den Rest seines PC Lebens "schöne Mails!"

Java schalte ich nur im Bedarfsfall ein... kann sein, dass ich da einige Attacken nicht mitbekommen habe. Ich hatte nur mit meiner ungepatchten XP Version verglichen. Dort kam keine Speicheraufforderung für die WMF Datei. Der Exploit hat sofort den Explorer zum Absturz gebracht und eine Internetverbindung gefordert. JavaVM ist dort nicht installiert.
Mein richtiger IE läuft als Standardbenutzer. Vielleicht hat das auch noch einiges zurückgehalten.

Java schalte ich nur im Bedarfsfall ein... kann sein, dass ich da einige Attacken nicht mitbekommen habe. Ich hatte nur mit meiner ungepatchten XP Version verglichen. Dort kam keine Speicheraufforderung für die WMF Datei. Der Exploit hat sofort den Explorer zum Absturz gebracht und eine Internetverbindung gefordert. JavaVM ist dort nicht installiert.
Mein richtiger IE läuft als Standardbenutzer. Vielleicht hat das auch noch einiges zurückgehalten.

Also bei mir läuft es so ab...

Link aufrufen,
seite geöffnet,
popups werden eingeblendet,
windows bildvorschau öffnet sich,
software wird heruntergeladen,
spyaxe ist aktiv

riiiiiiiiiiischtisch und schon haste den schiß auf dem Rechner ist das jetzt dein neues hobby die seite andauernd zu öffnen oder was willste uns eigendlich mitteilen das dein MS VM uralt ist un die leutchen ne neue alte lücke entdeckt haben?
Dann ruf bei Heise an oder besser schick ihnen den Link..........habt ihr sonst nix zutun?

Also bei mir läuft es so ab...

Link aufrufen,
seite geöffnet,
popups werden eingeblendet,
windows bildvorschau öffnet sich,
software wird heruntergeladen,
spyaxe ist aktivKapier jetzt nicht, Wenn sich die Bildvorschau öffnet (Du meinst den Faxviewer?) dann war das doch wohl ein WMF-Bild, oder ? :|
Also gibt es zwei Möglichkeiten :
1.) Du hast den WMF-Patch KB912919 nicht installiert.
2.) Du hast ihn installiert aber er funktioniert nicht richtig bzw. wurde schon wieder umgangen.

MfG
Rooter

der patch wurde umgangen!!!!!!!! geht schnell ne....kommt jetzt über java rein!!!

http://www.heise.de/newsticker/meldung/68157