Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Lästige Popups

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.01.2007, 12:31   #1
Mirror29
 
Lästige Popups - Standard

Lästige Popups



hallo,

bekomme seit kurzem jede menge lästiger popups auf mein display wenn ich im internet surfe (partypoker, titanpoker, adultfriend etc.). Ich denke mal es handelt sich dabei um einen trojaner, kann mir eventuell jemand weiterhelfen, hab gesehen dass ich nicht der einzige bin, der mit diesen popups probleme hat.

Hier mein HijackThis ergebniss:

Logfile of HijackThis v1.99.1
Scan saved at 15:20:40, on 03.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Novatel Wireless\MobiLink\MobiLink.exe
C:\PROGRA~1\NOVATE~1\MobiLink\Phoenix.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\KLEMEN~1\LOKALE~1\Temp\Rar$EX00.312\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [LMgrVolOSD] "C:\Programme\Launch Manager\OSD.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [webupcompdrv] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ERRORDOESWEBUP\onemail.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Softwareknob] C:\DOKUME~1\KLEMEN~1\ANWEND~1\METAHO~1\Multi Wipe License.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - http://www.musicnotes.com/download/mnviewer.cab
O16 - DPF: {EFFDEEEC-F9E1-4461-91D2-DAEB8CC595F1} (CSViewer Control) - http://watzenegg.dyndns.org:2200/CSViewer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{67714F4F-3E35-4C30-90FB-C1D74A48D01F}: NameServer = 194.24.128.100 81.3.216.100
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Danke im Voraus, mfg klemens

Alt 04.01.2007, 13:27   #2
jaycob
 
Lästige Popups - Standard

Lästige Popups



Hallo Mirror29!

Ich vermute mal, für die Popups ist folgender Eintrag verantwortlich:

O17 - HKLM\System\CCS\Services\Tcpip\..\{67714F4F-3E35-4C30-90FB-C1D74A48D01F}: NameServer = 194.24.128.100 81.3.216.100


Normal ist der jedenfalls nicht! Würde ihn auf alle Fälle fixen. Du hast nix von einem Virenscan geschrieben - hast du die Platte mal komplett gescannt? Und nutze neben Anti Virus auch ruhig mal Ad-Aware und SpyBot S&D.

Grüße, Jaycob.
__________________


Alt 04.01.2007, 14:42   #3
Mirror29
 
Lästige Popups - Standard

Lästige Popups



hallo jaycob,

danke erst mal für deine hilfe, hab den 017 eintrag gefixt was auch zum Teil funktioniert hat. geblieben ist ein popup welches erst unten in der leiste ohne lettern angezeigt wurde (meetic und ink club waren werbende fenster), mittlerweile steht "new offer for you" dabei, das popup ist das einzige was sich öffnet, immerhin! hab avast als antivirus programm, das findet aber nichts, mit spybot hab ich auch schon gescannt, nutzt aber auch nichts. hier nochmal ein aktueller auszug von hijackthis, vielleicht siehst du ja nochmal was, vielen dank für deine hilfe. mfg klemens

Logfile of HijackThis v1.99.1
Scan saved at 15:41:37, on 04.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Novatel Wireless\MobiLink\MobiLink.exe
C:\PROGRA~1\NOVATE~1\MobiLink\Phoenix.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\KLEMEN~1\LOKALE~1\Temp\Rar$EX00.843\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [LMgrVolOSD] "C:\Programme\Launch Manager\OSD.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [webupcompdrv] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ERRORDOESWEBUP\onemail.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Softwareknob] C:\DOKUME~1\KLEMEN~1\ANWEND~1\METAHO~1\Multi Wipe License.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - http://www.musicnotes.com/download/mnviewer.cab
O16 - DPF: {EFFDEEEC-F9E1-4461-91D2-DAEB8CC595F1} (CSViewer Control) - http://watzenegg.dyndns.org:2200/CSViewer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{67714F4F-3E35-4C30-90FB-C1D74A48D01F}: NameServer = 194.24.128.100 81.3.216.100
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
__________________

Alt 04.01.2007, 14:46   #4
myrtille
/// TB-Ausbilder
 
Lästige Popups - Standard

Lästige Popups



Hi,
der o17-Eintrag ist harmlos solang du die Gesellschaft OneGmbh kennst und/oder in Wien lebst?


Mich wundert eher dieser Eintrag:
Zitat:
[webupcompdrv] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ERRORDOESWEBUP\onemail.exe
Sag dir das irgendwas? Wenn nicht, dann lass die Datei bitte mal bei virustotal auswerten. Das Ergebnis hier posten, mitsamt Größe und Kennwerten.

lg myrtille

Alt 04.01.2007, 17:25   #5
nochdigger
 
Lästige Popups - Standard

Lästige Popups



mOIn

und der hier auch noch :

O4 - HKCU\..\Run: [Softwareknob] C:\DOKUME~1\KLEMEN~1\ANWEND~1\METAHO~1\Multi Wipe License.exe

sieht mir aus wie Swizzor

MFG

EDIT: Moin myrtille


Alt 04.01.2007, 17:43   #6
myrtille
/// TB-Ausbilder
 
Lästige Popups - Standard

Lästige Popups



Ich bin das Logfile sicherlich dreimal durchgegangen und habs trotzdem nicht gesehen.
Hab immer gedacht, dass die Swizzoreinträge einem eigentlich ins Auge springen.

Immerhin ist jemand da und behält mich im Auge

Alt 09.01.2007, 21:59   #7
Mirror29
 
Lästige Popups - Standard

Lästige Popups



hallo nochmal,


Den Eintrag [webupcompdrv] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ERRORDOESWEBUP\onemail.exe hab ich im abgesicherten Modus gefunden und gefixt, ebenso den Eintrag O4 - HKCU\..\Run: [Softwareknob] C:\DOKUME~1\KLEMEN~1\ANWEND~1\METAHO~1\Multi Wipe License.exe , allerdings war dieser im abgesicherten modus nicht zu finden, hab ihn also im normalen modus gefixt, seitdem hab ich zwar noch nicht allzulange gesurft, ist aber kein popup mehr gekommen.

Vielen Dank also mal an all die netten Helfer, vielleicht meld ich mich dann wieder, hoffe aber nicht so.

Falls mal jemand Tipps braucht, was man im westlichsten Zipfel von österreich alles machen kann, einfach fragen.....grüsse klemens

Alt 11.01.2007, 13:10   #8
Mirror29
 
Lästige Popups - Standard

Lästige Popups



hallo nochmal,

hätte euren rat besser gleich befolgt und die von euch angegebenen einträge bei virustotal scannen lassen sollen, die popups sind nach wie vor aktiv. bitte nochmal um eure hilfe hier alle ergebnisse:

Logfile of HijackThis v1.99.1
Scan saved at 13:51:42, on 11.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Novatel Wireless\MobiLink\MobiLink.exe
C:\PROGRA~1\NOVATE~1\MobiLink\Phoenix.exe
C:\Programme\eMule\emule.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\KLEMEN~1\LOKALE~1\Temp\Rar$EX00.156\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [LMgrVolOSD] "C:\Programme\Launch Manager\OSD.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Softwareknob] C:\DOKUME~1\KLEMEN~1\ANWEND~1\METAHO~1\Multi Wipe License.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - http://www.musicnotes.com/download/mnviewer.cab
O16 - DPF: {EFFDEEEC-F9E1-4461-91D2-DAEB8CC595F1} (CSViewer Control) - http://watzenegg.dyndns.org:2200/CSViewer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{67714F4F-3E35-4C30-90FB-C1D74A48D01F}: NameServer = 194.24.128.100 81.3.216.100
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)


Virustatalscan:

O4 - HKCU\..\Run: [Softwareknob] C:\DOKUME~1\KLEMEN~1\ANWEND~1\METAHO~1\Multi Wipe License.exe

CAT-QuickHeal 9.00 01.10.2007 (Suspicious) - DNAScan
Panda 9.0.0.4 01.10.2007 Adware/Lop
Prevx1 V2 01.11.2007 Adware.Lop
VBA32 3.11.2 01.10.2007 suspected of Trojan-Downloader.Obfuscated.1 (paranoid heuristics)

Aditional Information
File size: 412160 bytes
MD5: 19e0f49976b440a72d63c9fddaa7bff8
SHA1: 3e1d71c465c168a1c7464e7143c2d7679152cfed
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=8f6863353756

Hab diesen Eintrag versucht zu fixen, hat sich aber wieder von selbst installiert, kann mir da wer weiterhelfen?

Mein aktuelles spybot resultat zeigt auch noch 3 einträge:

-CassaAa
-TagaSaurus
-Zanox

Gestern hab ich Swizzor und noch ein paar andere gecancelt, die werden aber schätz ich mal über kurz oder lang wieder kommen.

mfg klemens

Alt 11.01.2007, 13:11   #9
Mirror29
 
Lästige Popups - Standard

Lästige Popups



hallo nochmal,

hätte euren rat besser gleich befolgt und die von euch angegebenen einträge bei virustotal scannen lassen sollen, die popups sind nach wie vor aktiv. bitte nochmal um eure hilfe hier alle ergebnisse:

Logfile of HijackThis v1.99.1
Scan saved at 13:51:42, on 11.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Novatel Wireless\MobiLink\MobiLink.exe
C:\PROGRA~1\NOVATE~1\MobiLink\Phoenix.exe
C:\Programme\eMule\emule.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\KLEMEN~1\LOKALE~1\Temp\Rar$EX00.156\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [LMgrVolOSD] "C:\Programme\Launch Manager\OSD.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Softwareknob] C:\DOKUME~1\KLEMEN~1\ANWEND~1\METAHO~1\Multi Wipe License.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - http://www.musicnotes.com/download/mnviewer.cab
O16 - DPF: {EFFDEEEC-F9E1-4461-91D2-DAEB8CC595F1} (CSViewer Control) - http://watzenegg.dyndns.org:2200/CSViewer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{67714F4F-3E35-4C30-90FB-C1D74A48D01F}: NameServer = 194.24.128.100 81.3.216.100
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)


Virustotalscan:

O4 - HKCU\..\Run: [Softwareknob] C:\DOKUME~1\KLEMEN~1\ANWEND~1\METAHO~1\Multi Wipe License.exe

CAT-QuickHeal 9.00 01.10.2007 (Suspicious) - DNAScan
Panda 9.0.0.4 01.10.2007 Adware/Lop
Prevx1 V2 01.11.2007 Adware.Lop
VBA32 3.11.2 01.10.2007 suspected of Trojan-Downloader.Obfuscated.1 (paranoid heuristics)

Aditional Information
File size: 412160 bytes
MD5: 19e0f49976b440a72d63c9fddaa7bff8
SHA1: 3e1d71c465c168a1c7464e7143c2d7679152cfed
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=8f6863353756

Hab diesen Eintrag versucht zu fixen, hat sich aber wieder von selbst installiert, kann mir da wer weiterhelfen?

Mein aktuelles spybot resultat zeigt auch noch 3 einträge:

-CassaAa
-TagaSaurus
-Zanox

Gestern hab ich Swizzor und noch ein paar andere gecancelt, die werden aber schätz ich mal über kurz oder lang wieder kommen.

mfg klemens

Alt 11.01.2007, 13:50   #10
Sunny
Administrator
> Competence Manager
 

Lästige Popups - Standard

Lästige Popups



Zitat:
Zitat von nochdigger Beitrag anzeigen
mOIn

und der hier auch noch :

O4 - HKCU\..\Run: [Softwareknob] C:\DOKUME~1\KLEMEN~1\ANWEND~1\METAHO~1\Multi Wipe License.exe

sieht mir aus wie Swizzor

@Mirror29


nochdigger gab dir den entsprechenden Eintrag des Swizzor, hast du denn auch die Anleitung gelesen?
Nur mit dem reinen fixen des Eintrags ist nicht getan, aber mehr dazu in der Anleitung...

Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 11.01.2007, 14:50   #11
Mirror29
 
Lästige Popups - Standard

Lästige Popups



hallo,

die anleitung bin ich schon mal durchgegangen, hab aber den fehler gemacht und mich als admin im abgesicherten modus eingeloggt(da fehlte komischerweise der eintrag den es zu fixen gab) statt als mich selber, diesmal hats einwandfrei funktioniert und die popups sind weg, danke nochmal,

mfg klemens

Antwort

Themen zu Lästige Popups
adobe, antivirus, avast, avast!, bho, computer, cyberlink, dateien, einstellungen, explorer, handel, hijack, hijackthis, ics, internet, internet explorer, launch, messenger, microsoft, pdf, popup, popups, programme, software, system, temp, trojaner, windows, windows xp



Ähnliche Themen: Lästige Popups


  1. Win7: Verlinkungen + lästige Popups
    Log-Analyse und Auswertung - 02.09.2014 (11)
  2. Windows 7: Werbung und Popups im Firefox, unterstrichene Wörter mit PopUps bei Mouse-Over EXP/JAVA.Rafold.A.Gen
    Log-Analyse und Auswertung - 03.02.2014 (5)
  3. Internet Explorer: Lästige Werbebanner, Popups und extrem langsam (Windows 7)
    Log-Analyse und Auswertung - 18.10.2013 (9)
  4. ad.yieldmanager.com - lästige, sporadische werbe popups + weiterleitung auf falsche webseiten
    Plagegeister aller Art und deren Bekämpfung - 12.09.2012 (23)
  5. Werde lästige Popups nicht los, die Computer verlangsamen - Viren?
    Plagegeister aller Art und deren Bekämpfung - 10.06.2010 (1)
  6. Lästige Popups in Firefox und IE
    Log-Analyse und Auswertung - 25.12.2008 (6)
  7. lästige advertisement popups
    Mülltonne - 16.11.2008 (1)
  8. Lästige Popups
    Plagegeister aller Art und deren Bekämpfung - 19.07.2008 (1)
  9. Lahmer Pc+lästige Popups
    Mülltonne - 09.07.2008 (1)
  10. Lästige PopUps bitte um Hilfe!!
    Log-Analyse und Auswertung - 28.12.2006 (3)
  11. Lästige POP-Ups
    Log-Analyse und Auswertung - 12.12.2006 (1)
  12. ad.firstsolution popups +andere Popups+ langsamer seitenaufbau
    Log-Analyse und Auswertung - 28.11.2006 (14)
  13. Lästige Popups
    Log-Analyse und Auswertung - 06.09.2006 (4)
  14. Lästige PopUps - Arbeiten im Inet nicht mehr möglich
    Log-Analyse und Auswertung - 09.05.2006 (4)
  15. Browser spinnt - Öffnet sich automatisch mit Popups und Swf Popups
    Log-Analyse und Auswertung - 03.03.2006 (6)
  16. Extrem lästige Popups
    Log-Analyse und Auswertung - 31.10.2005 (1)
  17. Elite Toolbar und andere lästige Popups!
    Plagegeister aller Art und deren Bekämpfung - 24.05.2005 (1)

Zum Thema Lästige Popups - hallo, bekomme seit kurzem jede menge lästiger popups auf mein display wenn ich im internet surfe (partypoker, titanpoker, adultfriend etc.). Ich denke mal es handelt sich dabei um einen trojaner, - Lästige Popups...
Archiv
Du betrachtest: Lästige Popups auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.