|
Popups *grummel* Hallo Leute, obwohl mein IE nicht geöffnet ist, gehen immer wieder Pages auf mit irgendwelchen Adware entferner oder Performance verbesserer Software Angebote auf ... (wenn man das so formulieren kann :balla: ) wie kann ich die zum teufel los werden ...und bitte ohne popup Programme ... und noch was wo kann ich den mein Hijack file senden? danke füre Hilfe gruss Shahry :daumenhoc |
Wenn du schon ein log mit HJT erstellt hast, kopiere einfach den Inhalt hier in den Thread. http://www.trojaner-board.de/51130-a...ijackthis.html |
Hab das Hijack file auf dieser seite eingegeben. Wobei 2 Prozesse seltsam sind bei der Auswertung: C:\WINNT\system32\ELAN.exe O10 - Unknown file in Winsock LSP: c:\winnt\system32\inetadpt.dll Böse Diese Einträge sollten nicht manuell gelöscht werden! Beste Möglichkeiten zur Reparatur bieten LSPFix von Cexx.org oder Spybot S&D von Kolla.de. Prüfen Sie Ihre Festplatte mit Spybot S&D von Kolla.de oder LSPFix von Cexx.org! O10 - Unknown file in Winsock LSP: c:\winnt\system32\inetadpt.dll Böse Diese Einträge sollten nicht manuell gelöscht werden! Beste Möglichkeiten zur Reparatur bieten LSPFix von Cexx.org oder Spybot S&D von Kolla.de. Prüfen Sie Ihre Festplatte mit Spybot S&D von Kolla.de oder LSPFix von Cexx.org! O10 - Unknown file in Winsock LSP: c:\winnt\system32\inetadpt.dll Böse Diese Einträge sollten nicht manuell gelöscht werden! Beste Möglichkeiten zur Reparatur bieten LSPFix von Cexx.org oder Spybot S&D von Kolla.de. Prüfen Sie Ihre Festplatte mit Spybot S&D von Kolla.de oder LSPFix von Cexx.org! O10 - Unknown file in Winsock LSP: c:\winnt\system32\inetadpt.dll Böse Diese Einträge sollten nicht manuell gelöscht werden! Beste Möglichkeiten zur Reparatur bieten LSPFix von Cexx.org oder Spybot S&D von Kolla.de. Prüfen Sie Ihre Festplatte mit Spybot S&D von Kolla.de oder LSPFix von Cexx.org! kannst du mir da weiterhelfen. soll ich jetzt noch LSPFix runter laden? habe schon spybot |
*pieps* ;) Darf ich Dich bitten das komplette Log zu schicken, ja ? Das würde uns sehr weiterhelfen - Danke Dir :daumenhoc Gruß Andy |
also hier is mein Logfile wobei ihr Sunrise und Panorama nicht beachten müsst.Sunrise ist die Homempage meines Handybetreibers und Panorama ist ein Programm dass mir alle 2 Minuten den Bildschirmhintergrund wechselt. was Elan ist weiss ich ned. Und was soll ich tun wegen den Popups? Und noch was kennst du ein gutes p2p programm? kostenlos ohne adware. Logfile of HijackThis v1.98.2 Scan saved at 17:45:09, on 01.09.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe C:\Program Files\GoBack\GBPoll.exe C:\WINNT\system32\hidserv.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\ZONELABS\vsmon.exe C:\Program Files\Network Associates\VirusScan\VsStat.exe C:\Program Files\Network Associates\VirusScan\Vshwin32.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe C:\WINNT\system32\rundll32.exe C:\WINNT\Explorer.EXE C:\Program Files\Compaq\Easy Access Button Support\StartEAK.exe C:\WINNT\system32\ELAN.exe C:\WINNT\system32\rundll32.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\Program Files\Compaq\Easy Access Button Support\CPQEADM.EXE C:\Program Files\Panorama\Panorama.exe C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe C:\PROGRA~1\INCRED~1\bin\IMAPP.EXE C:\PROGRA~1\INCRED~1\bin\IncMail.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\MSN Messenger\msnmsgr.exe F:\Software\EScan\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sunrise.ch/de/hom/default.asp R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.ch/ O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [CPQEASYACC] C:\Program Files\Compaq\Easy Access Button Support\StartEAK.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoveElanIcon] C:\WINNT\system32\ELAN.exe O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - Global Startup: Panorama 32.lnk = C:\Program Files\Panorama\Panorama.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O10 - Unknown file in Winsock LSP: c:\winnt\system32\inetadpt.dll O10 - Unknown file in Winsock LSP: c:\winnt\system32\inetadpt.dll O10 - Unknown file in Winsock LSP: c:\winnt\system32\inetadpt.dll O10 - Unknown file in Winsock LSP: c:\winnt\system32\inetadpt.dll O14 - IERESET.INF: START_PAGE_URL=http://www.sunrise.ch/de/hom/default.asp O16 - DPF: ConferenceRoom Java Client - http://irc2.bluewin.ch/java/cr.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab O16 - DPF: {BB47CA33-8B4D-11D0-9511-00C04FD9152D} (ExteriorSurround Object) - http://autos.msn.com/components/ocx/...or/Outside.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab |
Hast du ein programm namens SayItPro installiert? Davon KÖNNTE die ELAN.exe kommen. Du solltest tatsächlich lspfix besorgen: http://www.cexx.org/lspfix.htm denn alle Einträge: O10 - Unknown file in Winsock LSP: c:\winnt\system32\inetadpt.dll müssen gefixt werden, falls danach das Netz nicht mehr gehen sollte, brauchst du eventuell das lspfix. |
ne sayitpro sagt mir überhaupt nichts ...aber kann sein das es vom Kazaa kommt aber das is jetzt weg. aber das Problem mit den Popups von Adware Software is noch ned gelöst :( ich probiers jetzt mal mit ispfix |
Windows Nachrichtendienst deaktiviert? |
welcher Nachrichtendienst? |
Ich glaube weniger, dass dies der Nachrichtendienst ist, da du ja sagst, dass Pages aufpopen. Nachrichtendienst: http://www.trojaner-info.de/nachrichtendienst |
so der Nachrichtendienst is aus ..mal gucken obs noch vorkommt. aber der lspfix funktioniert bei mir ned kommt ne Fehlermeldung .. verdammt ... |
Hast du denn die Einträge gefixt? Das lspfix ist ja nur dazu da, dass du bei Problemen NACH dem Fixen die Dateien wiederherstellen kannst, er entfernt nicht diese Dateien. |
hmm also muss ich diese 3 Dateien die mir ispfix angibt mit dem spybot löschen hab ich das richtig verstanden? |
Nein, es geht um diese Einträge bei Hijackthis: O10 - Unknown file in Winsock LSP: c:\winnt\system32\inetadpt.dll O10 - Unknown file in Winsock LSP: c:\winnt\system32\inetadpt.dll O10 - Unknown file in Winsock LSP: c:\winnt\system32\inetadpt.dll O10 - Unknown file in Winsock LSP: c:\winnt\system32\inetadpt.dll Sind die noch da, wenn du einen aktuellen Scan machst? |
ja die sind noch da .... bring die eifnach ned weg kann ich die einfach manuell löschen? |
Ja - du kannst die Datei c:\winnt\system32\inetadpt.dll manuell - am bestem im abgesicherten Modus - löschen. |
menno die popups sind immer noch da grummel... brauch keine Adware mehr hab doch genug... :koch: |
@ Shahry. fixe bitte im abgesicherten Modus mit Hijack This: R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sunrise.ch/de/hom/default.asp O14 - IERESET.INF: START_PAGE_URL=http://www.sunrise.ch/de/hom/default.asp und poste bitte ein neues Logfile. SD |
warum soll ich den die Page fixen? das is ne normal homepage von meinem Handybetreiber. übrigens danke dass ihr mir gesagt habt ihr soll das File "inetadpt.dll" löschen mein internet war am arsch kam nicht mehr rein ....doch jetzt hab ich es ersetzt ...es is 5.20 am morgen und ich war jetzt 5h an diesem scheiss Problem ,hehe ... bei escan hat im abgesicherten Modus folgende Adware gefunden: "look2me.k" aber obwohl er die files unbenamst und ich sie später lösche findet er sie immer wieder und immer wieder betrifft es ne andere dll. kann man da nix machen? und noch was die doofen Adware Software werbungen popups sind immer noch da ...uff |
@ Shahry Hast Du die Datei "C:\WINNT\system32\ELAN.exe" noch? Dann sende sie bitte an partytime-germany.ice@web.de. SD |
ja Elan.exe hab ich noch drauf soll ich die fixen mit hijacker? gehört die ned zu Windows? und was soll ich dir schicken das logfile? und soll ich die homepage trotzdem fixen auch wenn sie von meinem Handybetreiber is? |
@ Shahry Zitat:
Zitat:
Zitat:
Zitat:
SD |
ok habs dir geschickt, kann ich die Homepage einfach auf die Ignoreliste setzen? dann kommt sie ned andauernd im log. |
danke @ Shahry nein, poste bitte das komplette Logfile. SD |
Wahrscheinlich war es undeutlich formuliert, aber du solltest dir das lspfix ja genau deswegen herunterladem, weil nach dem Fixen (bzw. Löschen) der inetadpt.dll dein Internet eventuell nicht mehr funktiert und du das mit diesem Programm dann beheben kannst. Falls dir dieses Sprachprogramm nichts sagt, steigt die Wahrscheinlichkeit, dass es sich um einen schädlichen Prozess handelt, der eventuell noch nicht von Scannern erkannt wird, daher wäre es gut, wenn du SDs Hinweis folgst und die Datei an die Adresse verschickst. |
Zitat:
Wir brauchen das komplette Log mit allen Einträgen (und ungeblockten seiten), da sich vieles nur im Zusammenhand erkennen läßt. Jeden Eintrag den man wegläßt und/oder manipuliert, macht es für uns schwerer Dir zu helfen. ;) Jede File die man uns schickt, macht es uns in Zukunft leichter einen Schädling zu identifizieren, denn leider gilt auch hier je gewieferter die "Bughunter" (so nenne ich mal den kleinen Kreis hier von leuten die helfen), desto gewiefter müssen die Programmierer der Trojaner/HiJacker sein, um neue noch clevere Malware zu entwickeln, nur wenn wir selber schon vorher wisen wie der Hase läuft ist es nen Klacks den nächsten Schritt vorrauszuberechnen :D Gruß Andy |
[QUOTE=MountainKing]Wahrscheinlich war es undeutlich formuliert, aber du solltest dir das lspfix ja genau deswegen herunterladem, weil nach dem Fixen (bzw. Löschen) der inetadpt.dll dein Internet eventuell nicht mehr funktiert und du das mit diesem Programm dann beheben kannst. Leider klappt das mit dem LSPFix ned ..kommt ne Fehlermeldung das es kein Valid key ist oder so was ähnliches. etwas anderes. Ichhätte das HiJackfile voila aber mein Modem wird zwar jetzt erkannt aber ich kann keine Verbindung mehr herstellen *grummel* Logfile of HijackThis v1.98.2 Scan saved at 06:43:43, on 02.09.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\rundll32.exe C:\WINNT\system32\userinit.exe C:\WINNT\Explorer.EXE C:\Documents and Settings\Shahryar Amini\Start Menu\Programs\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sunrise.ch/de/hom/default.asp R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.ch/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [CPQEASYACC] C:\Program Files\Compaq\Easy Access Button Support\StartEAK.exe O4 - HKLM\..\Run: [RemoveElanIcon] C:\WINNT\system32\ELAN.exe O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - Global Startup: Panorama 32.lnk = C:\Program Files\Panorama\Panorama.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O10 - Unknown file in Winsock LSP: c:\winnt\system32\inetadpt.dll O10 - Unknown file in Winsock LSP: c:\winnt\system32\inetadpt.dll O10 - Unknown file in Winsock LSP: c:\winnt\system32\inetadpt.dll O10 - Unknown file in Winsock LSP: c:\winnt\system32\inetadpt.dll O14 - IERESET.INF: START_PAGE_URL=http://www.sunrise.ch/de/hom/default.asp O16 - DPF: ConferenceRoom Java Client - http://irc2.bluewin.ch/java/cr.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab O16 - DPF: {A1A961DA-2BA6-4032-859E-01AC35357163} (One2One Viewer) - http://www.one2one.com/static/class/one2one.cab O16 - DPF: {BB47CA33-8B4D-11D0-9511-00C04FD9152D} (ExteriorSurround Object) - http://autos.msn.com/components/ocx/...or/Outside.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab |
Halli Hallo, ich denke folgendes soltle noch gefixed werden : R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost Zudem hast Du IncrediMail drauf, da streiten sich die gemüter, da diese Software SpyWare enthält (Persönlich würde ich davon abraten). ;) Gruß Andy |
Eventuell ist deine Winsock.dll beschädigt. Wenn du lsp-fix startest, stehen dann die inetadpt.dll-Einträge auf der rechten Seite unter Remove? Deaktiviere mal die Systemwiederherstellung und entferne die damit dann, es hilft nichts, diese Einträge müssen weg. |
Zitat:
Bist du sicher?Nicht das danach gar nix mehr geht :D Also um Incredi musst du dir keine Sorgen machen ist die Vollversion nicht die free version. Zitat:
das bei allen Betriebssystemen nach 95 wird winsock benötigt somit auch diese Dateien bist du dir also sicher,dass ich diese Datei entfernen muss? übrigens, das Modem geht wieder musste es nur neu installieren und falls winsock wirklich beschädigt ist wie kann ich es fixen?mit dem Win2000 recover tool funktionierts ned komischer weise.... Gruss Shahry |
Nein, die Datei sollst du nicht entfernen, die brauchst du selbstverständlich noch. :) Aber der Hijacker verändert sie und mit dem Tool entfernst du die schädlichen Veränderungen, zumindest sollte das so klappen. Vergiss das mit der Wiederherstellung, gibts bei win2000 nicht, mein Fehler. |
dachte ich mir doch, dass es das nicht gibt bei Windows. Und das wie meinst du LSP-Fix, vernichtet das schädliche. WIe kann ich es reparieren weil wenn es auf der REmove seite steht und ich auf finish clicke kommt ne Fehler meldung etwas wie: "value date failure und ich kann mir nicht vorstellen was das genau ist... sorry für die umstände gell |
@Shahry Zum Ausführen, der von dir eingesandten Datei wird noch eine Datei namens multlang.dll benötigt. Bitte suche die Datei und sende sie dann an partytime-germany.ice@web.de |
habs dir gemailt cris.. |
übrigens... mein inetadpt.dll ist jetzt auf der Keep Seite.... kapier gar nix mehr.... :balla: hab nicht mal was gemacht... |
Die Datei ist clean. |
:aplaus: :aplaus: :aplaus: yessssssssssssssssssssssssssssss |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:31 Uhr. |
Copyright ©2000-2025, Trojaner-Board