poste das log vom Silentruner
Silentrunners

Hi Sabina,
hier das log von silentrunner:
"Silent Runners.vbs", revision 56, http://www.silentrunners.org/
Operating System: Windows Vista
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Sidebar" = "C:\Program Files\Windows Sidebar\sidebar.exe /autoRun" [MS]
"WindowsWelcomeCenter" = "rundll32.exe oobefldr.dll,ShowWelcomeCenter" [MS]
"TOSCDSPD" = "C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe" [null data]
"ehTray.exe" = "C:\Windows\ehome\ehTray.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Windows Defender" = "C:\Program Files\Windows Defender\MSASCui.exe -hide"
"StartCCC" = "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [null data]
"SynTPStart" = "C:\Program Files\Synaptics\SynTP\SynTPStart.exe" ["Synaptics, Inc."]
"RtHDVCpl" = "RtHDVCpl.exe" ["Realtek Semiconductor"]
"NDSTray.exe" = "NDSTray.exe" ["TOSHIBA CORPORATION"]
"topi" = "C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe -startup" [null data]
"Desktop SMS" = "C:\Program Files\IDM\Desktop SMS\DesktopSMS.exe /auto" ["Interactive Digital Media"]
"TPwrMain" = "C:\Program Files\TOSHIBA\Power Saver\TPwrMain.EXE"
"SmoothView" = "C:\Program Files\Toshiba\SmoothView\SmoothView.exe"
"00TCrdMain" = "C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe"
"Toshiba Registration" = "C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe" [null data]
"avgnt" = ""C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"ZoneAlarm Client" = ""C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"" ["Check Point Software Technologies LTD"]
"QuickFinder Scheduler" = ""C:\Program Files\WordPerfect Office X3\Programs\QFSCHD130.EXE"" ["Corel Corporation"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
-> {HKLM...CLSID} = "SimpleShlExt Class"
\InProcServer32\(Default) = "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll" [empty string]
"{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Program Files\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{A155339D-CCCD-4714-85EB-3754B804C9DF}" = "a-squared Free Shell Extension"
-> {HKLM...CLSID} = "a-squared Free Shell Extension"
\InProcServer32\(Default) = "C:\Program Files\a-squared Free\a2freecontmenu.dll" ["Emsi Software GmbH"]

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\
<<!>> "SetupExecute" = "poqexec.exe \SystemRoot\WinSxS\pending.xml"

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Program Files\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
QuickFinderMenu\(Default) = "{C0E10002-0028-0006-C0E1-C0E1C0E1C0E1}"
-> {HKLM...CLSID} = "QuickFinder Shell Extension"
\InProcServer32\(Default) = "C:\Program Files\WordPerfect Office X3\Programs\PFSE130.DLL" ["Corel Corporation"]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
a-squared Free Shell Extension\(Default) = "{A155339D-CCCD-4714-85EB-3754B804C9DF}"
-> {HKLM...CLSID} = "a-squared Free Shell Extension"
\InProcServer32\(Default) = "C:\Program Files\a-squared Free\a2freecontmenu.dll" ["Emsi Software GmbH"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Program Files\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
a-squared Free Shell Extension\(Default) = "{A155339D-CCCD-4714-85EB-3754B804C9DF}"
-> {HKLM...CLSID} = "a-squared Free Shell Extension"
\InProcServer32\(Default) = "C:\Program Files\a-squared Free\a2freecontmenu.dll" ["Emsi Software GmbH"]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"ConsentPromptBehaviorAdmin" = (REG_DWORD) dword:0x00000002
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
User Account Control: Behavior Of The Elevation Prompt For Administrators In Admin Approval Mode}

"ConsentPromptBehaviorUser" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
User Account Control: Behavior Of The Elevation Prompt For Standard Users}

"EnableInstallerDetection" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
User Account Control: Detect Application Installations And Prompt For Elevation}

"EnableLUA" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
User Account Control: Run All Administrators In Admin Approval Mode}

"EnableSecureUIAPaths" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
User Account Control: Only elevate UIAccess applications that are installed in secure locations}

"EnableVirtualization" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
User Account Control: Virtualize file and registry write failures to per-user locations}

"PromptOnSecureDesktop" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
User Account Control: Switch to the secure desktop when prompting for elevation}

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

"FilterAdministratorToken" = (REG_DWORD) dword:0x00000000
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
User Account Control: Admin Approval Mode for the Built-in Administrator Account}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\TOSHIBA\wallpapers\wallpaper1.jpg"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Windows\web\wallpaper\img24.jpg"


Startup items in "Pizza" & "All Users" startup folders:
-------------------------------------------------------

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Adobe Reader Synchronizer" -> shortcut to: "C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe" ["Adobe Systems Incorporated"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\system32\NLAapi.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\system32\napinsp.dll" [MS]
000000000005\LibraryPath = "%SystemRoot%\system32\pnrpnsp.dll" [MS]
000000000006\LibraryPath = "%SystemRoot%\system32\pnrpnsp.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 18


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{76577871-04EC-495E-A12B-91F7C3600AFA}\
"ButtonText" = "eBay - Der weltweite Online Marktplatz"
"Exec" = "http://rover.ebay.com/rover/1/707-44556-9400-3/4" [file not found]

{8A918C1D-E123-4E36-B562-5C1519E434CE}\
"ButtonText" = "Amazon.de"
"Exec" = "http://www.amazon.de/exec/obidos/redirect-home?tag=Toshibadebholink-21&site=home" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

a-squared Free Service, a2free, ""C:\Program Files\a-squared Free\a2service.exe"" ["Emsi Software GmbH"]
Agere Modem Call Progress Audio, AgereModemAudio, "C:\Windows\system32\agrsmsvc.exe" ["Agere Systems"]
AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Ati External Event Utility, Ati External Event Utility, "C:\Windows\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
Automatische WLAN-Konfiguration, Wlansvc, "C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted" {"C:\Windows\System32\wlansvc.dll" [MS]}
CNG-Schlüsselisolation, KeyIso, "C:\Windows\system32\lsass.exe" [MS]
Computerbrowser, Browser, "C:\Windows\system32\svchost.exe -k netsvcs" {"C:\Windows\System32\browser.dll" [MS]}
ConfigFree Service, CFSvcs, "C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe" ["TOSHIBA CORPORATION"]
Extensible Authentication-Protokoll, EapHost, "C:\Windows\System32\svchost.exe -k netsvcs" {"C:\Windows\System32\eapsvc.dll" [MS]}
ProtexisLicensing, ProtexisLicensing, "C:\Windows\system32\PSIService.exe" [null data]
TOSHIBA Navi Support Service, TNaviSrv, "C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe" ["TOSHIBA Corporation"]
TOSHIBA Optical Disc Drive Service, TODDSrv, "C:\Windows\system32\TODDSrv.exe" ["TOSHIBA Corporation"]
TOSHIBA Power Saver, TosCoSrv, ""C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe"" ["TOSHIBA Corporation"]
TrueVector Internet Monitor, vsmon, "C:\Windows\System32\ZoneLabs\vsmon.exe -service" ["Check Point Software Technologies LTD"]
Ulead Burning Helper, UleadBurningHelper, "C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe" ["Ulead Systems, Inc."]
Windows Driver Foundation - Benutzermodus-Treiberframework, wudfsvc, "C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted" {"C:\Windows\System32\WUDFSvc.dll" [MS]}
Windows Presentation Foundation-Schriftartcache 3.0.0.0, FontCache3.0.0.0, "C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe" [MS]
Windows-Bilderfassung, stisvc, "C:\Windows\system32\svchost.exe -k imgsvc" {"C:\Windows\System32\wiaservc.dll" [MS]}
Zugriff auf Eingabegeräte, hidserv, "C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted" {"C:\Windows\system32\hidserv.dll" [MS]}


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
BJ Language Monitor3_2\Driver = "CNBLM3_2.DLL" ["CANON INC."]
Toshiba Bluetooth Monitor\Driver = "tbtmon.dll" ["TOSHIBA CORPORATION."]


---------- (launch time: 2008-03-17 09:44:03)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 81 seconds, including 18 seconds for message boxes)
Danke & Gruß
powerpop

1.
du solltest den Adobe aus dem Schnellstart nehmen (per HijackThis) - ist aber noch da :(

per HijackThis fixen + Rechner neustarten

den 02-Eintrag vom Adobe (im Browser) sollte man nicht fixen, denn dann funktioniert der Adobe nicht mehr.

Lade bitte den Browser Firefox und berichte, ob bei diesem Browser ebenfalls Adobe-Popups kommen
Firefox - Erweiterungen für Mozilla Firefox

Hi Sabina,

oh, sorry! Ich hatte den Adobe aus dem Schnellstart genommen. Da kam allerdings eine Fehlermeldung:

"For some reason your system denied access to the Hosts file. If any hijacked domains are in this file, Hijack This may not be able to fix this.
If that happens, yo to edit the file yourself.
For Vista: simply, exit Hijack This, right click on the Hijack This icon, choose 'Run as administrator'."

Dann hab ich das diesmal auch so gemacht wie gefordert und wieder IE gestartet und das POP up war wieder da. Firefox runtergeladen und siehe da,
unter Firefox kommt nix!

Ich danke dir auf jeden Fall sehr, daß Du dich meiner angenommen hast und mir bei meinem Problem gehlfen hast.
Weiß allerdings immer noch nicht genau, ob da nun ein Trojaner o.ä. noch auf meinem PC schlummert...

Danke & Viele Grüsse

powerpop

HijackThis - Host

HOSTFILE:

*öffne das HijackThis
*Do a system scan only
*Config
*Misc Tools
*Open Hosts file Manager

+
nix löschen, kopiere nur ab, was da steht

http://www.macromedia.com/support/documentation/de/flashplayer/help/help07.html

sieht dein Fenster anders aus?

http://www.macromedia.com/support/do...p_security.gif

Also wenn es anders aus sieht, dann bitte einen Screenshot


-----------------------------------

Wenn ja

[Seite1] Die angewählte seite z.b. du wählst web.de an
[Seite2] Die ursprungliche Seite, du kommst von trojaner-board.de

Also machste einfach den hacken bei nicht mehr nachfragen und wenn du [web.de] vertraust, dann kannst du zulassen drücken, ansonst ablehnen, dann dürfte es nicht mehr erscheinen.

Demnach gibt es nicht mehr möglichkeiten als Einzeln zu verweigern :(


------------------------------------------

Und Sabina wenn du das Problem schon mal gehabt hast, dann weiß ichs nicht.

1. Startet Adobe flash immer mit dem Internet Explorer mit
2. Scheint mir das eher ein Problem als "normal" zu sein, falls es auf jeder Seite, die er ansurft geschieht. Sonst kämen da hunderte von anfragen.

3. Will ich jetzt nich angeben, ich kann auch total falsch liegen, ich als nichtkenner möchte evt. auch nur meinen Teil beitragen.


Entschuldigt bitte fals ich falsch liege, aber evt. kann das weiterhelfen.

En`forcer :)

ich denke auch, dass es so ist, wie du es beschreibst...warten wir mal ab, was powerpop64 dazu meint.

Hi allerseits,

Als PC Laie weiss ich leider nicht wie man einen Screenshot macht...:(

Der Popup sieht rein optisch (trotz inhaltlicher Ähnlichkeiten) anders aus.
Hier der komplette Text:
"Eine Website möchte webinhalte mithilfe dieses programms auf dem computer öffnen adobe flash player
Name: Adobe Flash Player
Herausgeber: Adobe Systems Inc
Das Programm wird außerhalb des geschützten Modus geöffnet. Der geschützte Modus von IE trägt zum Schutz des Computers
bei. Öffnen Sie die Seite nicht, wenn Sie der Website nicht vertrauen.
Warnung für dieses Programm nicht mehr anzeigen."

Ich mach euch auch gern einen Screenshot, wenn ihr mir sagt wie das geht :daumenhoc
Vielen Dank auch nochmal En'force
und Grüsse
powerpop

Hallo,

es bleibt nur noch dass du Adobe eine Nachricht zukommen lässt
Adobe - Flash Player: Einstellungsmanager

1. Also such mal auf deiner Tastertur die Taste Druck oder S-Abf (ganzer Bildschirm)
Wenn du nicht zu viel zeigen willst drücke Alt + Druck
(dann wird nur das Aktive fenster in die zwischenablage kopiert)

2. Dann öffne Paint oder ein anderes Programm zur Bildbearbeitung
Drücke Strg +V oder Control +V dann müsste sein fenster oder Desktop reinkopiert werden.

3. das Speicherst du als jpg
Datei > Speichern unter > Dateityp "JPEG" > Dateiname "beliebig" > Speichern

4. und lädts es bei Bilder hochladen - Dateien hochladen - Fotos hochladen | auf loaditup.de hoch.
(Standartpfad Eigene Bilder)

5. wenn es fertig ist erscheint links unten eine Box kopiere den link und öffne ihn mit deinem Browser,

6.dann rechtsklick "Bild" > Eigenschaften > Adressezeile "markieren" > "kopieren"

7. Im Trojanerboard auf das symbol mit den Bergen gehen http://www.trojaner-board.de/images/...nsertimage.gif und dann den link angeben.

Sollte es zu kompliziert sein, einfach nur den Link nach dem Upload (5.) im Forum Posten.


Noch viel Spaß auf der Trojanerboard-Seite.

Hi En'forcer,

hab leider kein Bildbearbeitungsprogramm aufm Rechner..:heulen:
Grüsse
powerpop

ok, habs doch über Umwege geschaftt:

http://http://www.loaditup.de/200197.html

du hast sie falsch eingebunden, nicht alle anweisungen befolgt, aber es gibt mittel und wege :D

http://www.loaditup.de/files/200212.jpg

h**p://www.loaditup.de/200197.html solltest du ohne schritt 6 und 7 einbinden
oder http://www.loaditup.de/files/200197.jpg mit schritt 6

schau das du das hinbekommst, ist oft mals wichtig.


Ach ja, Flash kannst du auf seiten zulassen, ich weiß jetzt nich ob Trojanerboard Flash besitz, aber mehr als jede 2. Seite hat Flashinhalte. Ich schätze du benutzt Norton, da kinn ich nicht weiterhelfen, evt. andere aus dem Forum.

Ich würde halt "Hacken" Warnung für dieses Programm nicht mehr anzeigen
"Zulassen" Es stellt durchaus ein Gafahr da, aber dafür gibt es Updates und Firewalls.
Zum surfen werden sie nicht umbedingt benötigt, mancher braucht sie mancher nicht
Falls du dir nicht sicher sein solltest:

Adobe Flash - Wikipedia

setze ein Häkchen in :Warnung für dieses Programm nicht mehr anzeigen
und ansonsten schreibe Adobe, ich hab dir weiter unten den Link gepostet ...frag noch mal nach :)

Hi Sabina,

ja, dann werd ich wohl den Gang nach Canossa tun und Adobe fragen. Ich hasse diese Anonymen Anfragen, wo man leider häufig gar keine Antwort kriegt. Und das Anklicken "Diese Warnung nicht mehr Anzeigen" bringt leider nix. :kloppen:
Und ganz egal ob ich zustimme oder verweigere, der Popup kommt immer wieder, zumindest bei IE.

Komischerweise krieg ich Mozilla/Firefox nicht mehr in Gang (Da wars weg!). Doppelklick auf Desktopsymbol und nix passiert...:schmoll:

@En'forcer: Sorry, daß ich die Schritte nicht befolgt habe. Aber schön, daß Du es trotzdem hinbekommen hast.

Tja, scheint ja dann doch ein nicht alltägliches Problem zu sein. Trotzdem danke ich euch sehr für eure Hilfe.

Viele Grüsse

powerpop