Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Popups am laufenden Band

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.01.2006, 22:42   #1
Curze
 
Popups am laufenden Band - Unglücklich

Popups am laufenden Band



Hi all


Ein Kumpel hat mir gesagt dass er hier schon oft Unterstützung gefunden hat wenn er Probleme hatte und deshalb ist nun meine letzte Hoffnung dass auch ihr mir helfen könnt. Es geht um folgendes:


Vor ca. 10 Tagen bin ich einfach im I-Net gesurft und anscheinend auf eine Seite gekommen die nich ganz sauber war. Anti Vir sprang an und seitdem hatte ich Probleme mit dem dass er Trojaner o.ä. gefunden hatte.

NAch diversen Updates von Anti Vir blieben diese Meldungen dann aus, doch ich habe immernoch das Problem dass sich ständig irgendwelche Popups öffnen, meist von Freenet oder Onlinebuyshop oder sonstwas, also schlicht Werbepopups, obwohl alle Firewalls bzw. Popupblocker eingeschaltet sind. Und das nervt mich so sehr, 1. beim Zocken schaltet er jedes mal zurück auf den Desktop und es nervt einfcah wenn ständig irgendwelche Popups aufgehen.

Habe Ad Aware und Spybot drüber laufen lassen, diese haben auch etwas gefunden was ich anschließend "entsorgt" habe und seitdem kommen nicht mehr so häufig, also so oft und so schnell hntereinander, wie vorher diese Popups, aber immernoch ab und zu öffnen sich welche.

Ich hoffe ihr habt irgendwelche Tipps was ich machen könnte, denn in diesem Gebiet bin ich leider ein absoluter Noob.

Würde mich über eine schnelle Hilfe freuen, MfG,

Curze

Alt 05.01.2006, 22:51   #2
irrlicht
 
Popups am laufenden Band - Standard

Popups am laufenden Band



Hallo Curze,
mach ein HijackThis-Log und einen EScan.Die Anleitungen dafür finden sich hier auf der Startseite unter "Anleitungen,FAQ,Links".Du suchst dir die Threads HijackThis und EScan liest was zu tun ist und handelst genauestens danach.Jeweils unten auf den Seiten findet sich ein PDF zum Download,dieses kann man ausdrucken.Beide erstellte Log`s zeigst du in deinem Thread vor.Dann erst kann gesehen werden wie weiter zu verfahren ist.
Alles klar ?
Irrlicht
__________________


Alt 05.01.2006, 23:06   #3
Curze
 
Popups am laufenden Band - Standard

Popups am laufenden Band



Hi

schonmal vielen Dank für deine schnelle Antwort:

Hier ist mal dieses Hijack Log:

Logfile of HijackThis v1.99.1
Scan saved at 23:59:24, on 05.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Daemon Tool\daemon.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\programme\powerstrip\pstrip.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\Common Files\VCClient\VCClient.exe
C:\Programme\Common Files\VCClient\VCMain.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ntvdm.exe
G:\CS\Steam.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\User\Desktop\Neuer Ordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\Daemon Tool\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [CU1] C:\Programme\Common Files\VCClient\VCClient.exe
O4 - HKCU\..\Run: [CU2] C:\Programme\Common Files\VCClient\VCMain.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h*tp://www.kle.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{41D4BB50-54DF-48A8-9ADF-4471F8713328}: NameServer = 217.237.151.97 217.237.149.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{41D4BB50-54DF-48A8-9ADF-4471F8713328}: NameServer = 217.237.151.97 217.237.149.225
O17 - HKLM\System\CS3\Services\Tcpip\..\{41D4BB50-54DF-48A8-9ADF-4471F8713328}: NameServer = 217.237.151.97 217.237.149.225
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\enp4l17q1.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe



dieses andere log poste ich nachher, muss eben im abgesicherten modus starten
__________________

Alt 05.01.2006, 23:24   #4
dartus
 
Popups am laufenden Band - Standard

Popups am laufenden Band



Hallo Curze

führe folgendes aus (Option 2 und dann 4):
http://virus-protect.net/l2mfix.html

dartus
__________________
Kein Support per PN

Alt 05.01.2006, 23:34   #5
Curze
 
Popups am laufenden Band - Standard

Popups am laufenden Band



dann kommt das nach dem Neustart




L2mfix 010406
Creating Account.
Der Befehl wurde erfolgreich ausgefhrt.

Adding Administrative privleges.
Checking for L2MFix account(0=no 1=yes):
1
Granting SeDebugPrivilege to L2MFIX ... successful

Running From:
C:\WINDOWS\system32

Killing Processes!

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 440 'smss.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 624 'winlogon.exe'
Killing PID 624 'winlogon.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1756 'explorer.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1484 'rundll32.exe'
Killing PID 308 'rundll32.exe'
Restoring Sedebugprivilege:
Granting SeDebugPrivilege to Administratoren ... successful

Scanning First Pass. Please Wait!

First Pass Completed

Second Pass Scanning

Second pass Completed!
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
Deleting: C:\WINDOWS\system32\bmhserv.dll
Successfully Deleted: C:\WINDOWS\system32\bmhserv.dll
Deleting: C:\WINDOWS\system32\bvdispl.dll
Successfully Deleted: C:\WINDOWS\system32\bvdispl.dll
Deleting: C:\WINDOWS\system32\d0j0la1m1d.dll
Successfully Deleted: C:\WINDOWS\system32\d0j0la1m1d.dll
Deleting: C:\WINDOWS\system32\en42l1ho1.dll
Successfully Deleted: C:\WINDOWS\system32\en42l1ho1.dll
Deleting: C:\WINDOWS\system32\g0040adqed0e0.dll
Successfully Deleted: C:\WINDOWS\system32\g0040adqed0e0.dll
Deleting: C:\WINDOWS\system32\l04q0ah5ed4.dll
Successfully Deleted: C:\WINDOWS\system32\l04q0ah5ed4.dll
Deleting: C:\WINDOWS\system32\lvro0993e.dll
Successfully Deleted: C:\WINDOWS\system32\lvro0993e.dll
Deleting: C:\WINDOWS\system32\mdrating.dll
Successfully Deleted: C:\WINDOWS\system32\mdrating.dll

msg11?.dll
0 Datei(en) kopiert.



Restoring Windows Update Certificates.:

The following Is the Current Export of the Winlogon notify key:
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
"DLLName"="Ati2evxx.dll"
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000001
"Lock"="AtiLockEvent"
"Logoff"="AtiLogoffEvent"
"Logon"="AtiLogonEvent"
"Disconnect"="AtiDisConnectEvent"
"Reconnect"="AtiReConnectEvent"
"Safe"=dword:00000000
"Shutdown"="AtiShutdownEvent"
"StartScreenSaver"="AtiStartScreenSaverEvent"
"StartShell"="AtiStartShellEvent"
"Startup"="AtiStartupEvent"
"StopScreenSaver"="AtiStopScreenSaverEvent"
"Unlock"="AtiUnLockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Themes]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\lvro0993e.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WRNotifier]
"Asynchronous"=dword:00000000
"DllName"="WRLogonNTF.dll"
"Impersonate"=dword:00000001
"Lock"="WRLock"
"StartScreenSaver"="WRStartScreenSaver"
"StartShell"="WRStartShell"
"Startup"="WRStartup"
"StopScreenSaver"="WRStopScreenSaver"
"Unlock"="WRUnlock"
"Shutdown"="WRShutdown"
"Logoff"="WRLogoff"
"Logon"="WRLogon"


The following are the files found:
****************************************************************************
C:\WINDOWS\system32\bmhserv.dll
C:\WINDOWS\system32\bvdispl.dll
C:\WINDOWS\system32\d0j0la1m1d.dll
C:\WINDOWS\system32\en42l1ho1.dll
C:\WINDOWS\system32\g0040adqed0e0.dll
C:\WINDOWS\system32\l04q0ah5ed4.dll
C:\WINDOWS\system32\lvro0993e.dll
C:\WINDOWS\system32\mdrating.dll

Registry Entries that were Deleted:
Please verify that the listing looks ok.
If there was something deleted wrongly there are backups in the backreg folder.
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{9FED06D9-4A16-49D6-8654-A7535DA70F07}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{9FED06D9-4A16-49D6-8654-A7535DA70F07}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{9FED06D9-4A16-49D6-8654-A7535DA70F07}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{9FED06D9-4A16-49D6-8654-A7535DA70F07}\InprocServer32]
@="C:\\WINDOWS\\system32\\mdrating.dll"
"ThreadingModel"="Apartment"

REGEDIT4


Alt 05.01.2006, 23:54   #6
Curze
 
Popups am laufenden Band - Standard

Popups am laufenden Band



nach einigen Minuten surfen kommen keine Hinweise auf weitere Popups....


Kann es sein dass nun alles behoben ist nachdem ausführen von dem Tipp den Dartus mir gegebn hat oder muss ich doch noch was durchchecken?

Alt 06.01.2006, 00:03   #7
dartus
 
Popups am laufenden Band - Standard

Popups am laufenden Band



Hallo Curze,

das kann sein, darum gab ich die Tipps. Poste abschliessend noch mal ein HJT-Logfile.

dartus

P.S. hier lesenswerte Links zur Systemabsicherung, insbesondere die „12 Punkte“.
__________________
Kein Support per PN

Alt 06.01.2006, 00:22   #8
Curze
 
Popups am laufenden Band - Standard

Popups am laufenden Band



ok hier


Logfile of HijackThis v1.99.1
Scan saved at 01:20:46, on 06.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Daemon Tool\daemon.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\programme\powerstrip\pstrip.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\Common Files\VCClient\VCClient.exe
C:\Programme\Common Files\VCClient\VCMain.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\eMule\emule.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\User\Desktop\Neuer Ordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*tp://www.kle.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\Daemon Tool\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [CU1] C:\Programme\Common Files\VCClient\VCClient.exe
O4 - HKCU\..\Run: [CU2] C:\Programme\Common Files\VCClient\VCMain.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.kle.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{41D4BB50-54DF-48A8-9ADF-4471F8713328}: NameServer = 217.237.151.97 217.237.149.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{41D4BB50-54DF-48A8-9ADF-4471F8713328}: NameServer = 217.237.151.97 217.237.149.225
O17 - HKLM\System\CS2\Services\Tcpip\..\{41D4BB50-54DF-48A8-9ADF-4471F8713328}: NameServer = 217.237.151.97 217.237.149.225
O17 - HKLM\System\CS3\Services\Tcpip\..\{41D4BB50-54DF-48A8-9ADF-4471F8713328}: NameServer = 217.237.151.97 217.237.149.225
O20 - Winlogon Notify: Themes - C:\WINDOWS\system32\lvro0993e.dll (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe





Noch eine Frage bzgl. der Prozesse im Task Manager, wie kann ich die sozusagen in eine Log verwandeln um die hier zu posten, mich würde interessieren ob da was faules dabei ist?!

Alt 06.01.2006, 00:42   #9
dartus
 
Popups am laufenden Band - Standard

Popups am laufenden Band



Hallo Curze,

da ist ja was neues in Deinem Sytem!

Wechsel nochmals in den angesicherten Modus bei deaktivioerter Systemwiederherstellung und fixe:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O20 - Winlogon Notify: Themes - C:\WINDOWS\system32\lvro0993e.dll (file missing)

Lösche manuell:
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders
c:\secure32.html

Neustart --> Systemwiederherstellung kann wieder aktiviert werden

dartus
__________________
Kein Support per PN

Alt 06.01.2006, 11:20   #10
Curze
 
Popups am laufenden Band - Standard

Popups am laufenden Band



Ich weiss leider nicht was du meinst mit abgeschalteter Systemwiederherstellung bzw. wie man das macht. Und wie fixe ich das dann mit welchen Programm und wo?!


Und mit manuell meinst du einfach auf entfernen oder wie?!



Sorry, kenne mich da nicht aus

Alt 06.01.2006, 13:32   #11
irrlicht
 
Popups am laufenden Band - Standard

Popups am laufenden Band



Hallo curze,
unter >start>Arbeitsplatz>Systeminformationen anzeigen(findet sich links im Kasten),den Reiter "Systemwiederherstellung klicken und suchen nach "Systemwiederherstellung auf allen Laufwerken deaktivieren",da kommt ein Haken in das Kästchen.
Um die Systemwiederherstellung anzuschalten den gleichen Weg,nur kommt dann der Haken den du gesetzt hast wieder raus.
Irrlicht

Alt 06.01.2006, 15:14   #12
Curze
 
Popups am laufenden Band - Standard

Popups am laufenden Band



ok das hab ich gefunden, nur wie muss ich nun welche einstellungen vornehmen die dartus gesagt hat.

Also wo fixe ich diese und wo lösche ich diese Dateien?!

Alt 06.01.2006, 23:27   #13
Curze
 
Popups am laufenden Band - Standard

Popups am laufenden Band



weiß keiner mehr was?

Alt 07.01.2006, 02:26   #14
dartus
 
Popups am laufenden Band - Standard

Popups am laufenden Band



Hallo Curze

wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken):

wie in meinem 1. Post beschrieben sowie weitere Vorgehensweise (bezüglich löschen usw.)

dartus
__________________
Kein Support per PN

Alt 07.01.2006, 12:22   #15
Curze
 
Popups am laufenden Band - Standard

Popups am laufenden Band



Hi, ich denke ich ahbs hinbekommen

Habe die Sachen gefixed und die anderen beiden manuell gelöscht, wobei aber diese secure32.html nicht mehr da war. Sie war auch nicht aufzfinden über das "Suchen in Dateien/Ordner" Modul.


Abschließend hab ich nochmal ein HTJ Logfile gemacht.


Logfile of HijackThis v1.99.1
Scan saved at 13:22:01, on 07.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Daemon Tool\daemon.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\programme\powerstrip\pstrip.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\Common Files\VCClient\VCClient.exe
C:\Programme\Common Files\VCClient\VCMain.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\User\Desktop\Neuer Ordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\Daemon Tool\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [CU1] C:\Programme\Common Files\VCClient\VCClient.exe
O4 - HKCU\..\Run: [CU2] C:\Programme\Common Files\VCClient\VCMain.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.kle.net
O17 - HKLM\System\CS1\Services\Tcpip\..\{41D4BB50-54DF-48A8-9ADF-4471F8713328}: NameServer = 217.237.151.97 217.237.149.225
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe

Antwort

Themen zu Popups am laufenden Band
ad aware, anti, anti vir, aware, desktop, diverse, einfach, firewalls, folge, free, freenet, i-net, kumpel, meldungen, nicht mehr, popupblocker, popups, probleme, schnell, schnelle hilfe, seite, spybot, tipps, trojaner, updates, öffnen



Ähnliche Themen: Popups am laufenden Band


  1. Seit Windows 8.1, Trojaner am laufendem Band
    Plagegeister aller Art und deren Bekämpfung - 27.11.2014 (3)
  2. CMD geht im Laufenden Betrieb schnell an und aus
    Plagegeister aller Art und deren Bekämpfung - 06.11.2014 (31)
  3. Pop-ups am laufenden Band
    Plagegeister aller Art und deren Bekämpfung - 20.08.2014 (6)
  4. Antivir zeigt viele laufenden Prozesse als Virus an
    Plagegeister aller Art und deren Bekämpfung - 24.04.2014 (41)
  5. Immer auf dem Laufenden – mit dem MSDN Flash Newsletter
    Nachrichten - 11.04.2013 (0)
  6. Fix-it und Out-of-Band Release schließen Lücke in Internet Explorer
    Nachrichten - 21.09.2012 (0)
  7. Autologin Adminkonto im laufenden Betrieb (Win XP)
    Log-Analyse und Auswertung - 30.11.2011 (18)
  8. Systemdateien im laufenden Betrieb löschen
    Alles rund um Windows - 07.07.2011 (7)
  9. IE öffnet selbstständig bei laufenden Firefox
    Log-Analyse und Auswertung - 04.07.2010 (15)
  10. Bekomme am laufenden Band Virenmeldungen
    Log-Analyse und Auswertung - 18.03.2010 (11)
  11. Unwissende braucht Hilfe bei 72 laufenden Prozessen
    Log-Analyse und Auswertung - 17.01.2009 (8)
  12. for sale HTC Advantage X7501 Quad Band GSM PDA Phone -USVers
    Mülltonne - 07.11.2007 (0)
  13. Hilfe! IRGENDWAS öffnet am laufenden Band Suchfenster und Systemeigenschaften!!
    Plagegeister aller Art und deren Bekämpfung - 08.07.2005 (2)
  14. Seltsame Verzeichnisse in laufenden Prozessen
    Log-Analyse und Auswertung - 12.11.2004 (10)
  15. HAAA.EXE unter laufenden Prozessen?
    Plagegeister aller Art und deren Bekämpfung - 15.10.2004 (5)

Zum Thema Popups am laufenden Band - Hi all Ein Kumpel hat mir gesagt dass er hier schon oft Unterstützung gefunden hat wenn er Probleme hatte und deshalb ist nun meine letzte Hoffnung dass auch ihr mir - Popups am laufenden Band...
Archiv
Du betrachtest: Popups am laufenden Band auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.