|
Super nervtoetende POPUPS Habe seit 2 Tagen sehr nervige popups die sich immer öfter öfnen auch wenn ich denn Iexplorer garnicht geöfnet habe kommen sie... Hatte allerdings auch 2 Viren auf dem Rechner 1. Win32.Delf.aml und 2. Win32.Procin.g diese habe ich aber bereits vom System gebannt. Habe dafür die datei msupdate32.dll kicken müssen weil sie verseucht war deswegen jetzt gleich im HiJack Log die Winlogon filemissing aussage nicht beachten... Nun das HiJack Log Logfile of HijackThis v1.99.1 Scan saved at 13:08:20, on 13.03.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\explorer.exe D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\****\Desktop\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe" O3 - Toolbar: VisuExplorer - {92E1B3F7-0546-421E-9835-904D25B7BA66} - C:\WINDOWS\system32\msiev32.dll O4 - HKLM\..\Run: [Microsoft Windows Session Manager Subsystem] C:\WINDOWS\smss.exe O4 - HKLM\..\Run: [Microsoft Windows Logon Process] C:\WINDOWS\winlogon.exe O4 - HKLM\..\Run: [KAV50] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss O4 - HKCU\..\Run: [Steam] D:\Programme\Valve\Steam\\Steam.exe -silent O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe" O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O20 - Winlogon Notify: Controls Folder - C:\WINDOWS\system32\i2lolc331f.dll O20 - Winlogon Notify: msupdate - msupdate32.dll (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Unknown owner - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 (file missing) O23 - Service: Windows Logon Process Service (MSWinLogonProcService) - Unknown owner - C:\WINDOWS\winlogon.exe" -service (file missing) Die Datei Secure32.dll habe ich bereits gekickt weil ich diese nicht kenne und nicht von mir stammt... Hoffe ihr könnt mir helfen... Danke im vorraus Marcel |
Hab mal einige einträge gefixt aber Popups kommen trotzdem noch... R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://searchbar.findthewebsiteyouneed.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe" O20 - Winlogon Notify: msupdate - msupdate32.dll (file missing) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html So diese einträge sind alle gefixt aber Problem besteht immer noch hier der aktuelle HiJack Log Logfile of HijackThis v1.99.1 Scan saved at 13:27:44, on 13.03.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\explorer.exe D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\****\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ O4 - HKLM\..\Run: [Microsoft Windows Session Manager Subsystem] C:\WINDOWS\smss.exe O4 - HKLM\..\Run: [Microsoft Windows Logon Process] C:\WINDOWS\winlogon.exe O4 - HKLM\..\Run: [KAV50] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss O4 - HKCU\..\Run: [Steam] D:\Programme\Valve\Steam\\Steam.exe -silent O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe" O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O20 - Winlogon Notify: Controls Folder - C:\WINDOWS\system32\i2lolc331f.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Unknown owner - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 (file missing) O23 - Service: Windows Logon Process Service (MSWinLogonProcService) - Unknown owner - C:\WINDOWS\winlogon.exe" -service (file missing) Danke Marcel |
Servus! Bei Dir läuft leider etwas mehr als nur nervige Adware. Zitat:
Da kann und will ich Dir nur noch den Rat geben, Dein System neu aufzusetzen. Cidre hat dort in seiner Anleitung ausreichend erklärt/verlinkt, warum das bei einem derartigen Befall die einzig sinnvolle Maßnahme ist. Alles andere ist sinnlose Bastelei! stupormundi |
Besteht denn die Möglichkeit die Datei Winlogonexe und Smss.exe unter Dos Manuel zu löschen und diese danach wieder neu rein zu kopieren? Hätte noch ein Windows XP System welches nicht fürs Netz gedacht ist und rein ist davon kann ich die Datein nehmen... Mfg Marcel |
Nein! Lies Dir die Anleitung von Cidre durch! Da gibts kein Basteln! stupormundi |
Hallo, wollt nur nochmal stupormundi zustimmen,basteln hilft nicht.. neuaufsetzen ordentlich absichern... |
Hallo, Meinungsverstärker! Alles andere als Neuaufsetzen ist nur Doktorei. Keiner kann Dir sagen, was Du in der Zwischenzeit auf Deinem System hast. Hallo stupormundi :) [edit]Hallo hoerni [/edit] Gruß Schrulli |
Hallo, Schrulli und Hoerni26! :party: gts, stupormundi |
Ok dann werde ich da wohl nicht drum herum kommen... Schade da das System gearde mal 2 wochen drauf ist... Wie kommt denn so was... Habe die Windows Firewall an und Kaspersky mit neusten updates drauf dazu die Firewall im Router noch an und gehe fast ausschließlich über Firefox ins Netzt... Bitte um Rat... |
Jetzt kann ich Dich zum wiederholten Mal nur auf Cidres Anleitung verweisen: Wenn Du seine 12 Punkte zur Absicherung des Systems ansiehst, wirst Du sicher bemerken, dass Du wohl in diesen letzten zwei Wochen irgend etwas falsch gemacht hast. So ein Backdoor/Proxy kommt nicht aus dem Nichts! Was die Tauglichkeit der einzelnen Programme angeht ...: Nun, Du als User bist die entscheidende Instanz. Da hilft Dir kein Scanner und keine PFW. stupormundi ~~edit~~ ja, ein Kaffee wär' jetzt gut~~/edit~~ |
Hallo, kommt etwas auf Dein Surf- und Softwarebezugsverhalten an. ;) Der ganze Aufwand von wegen alternativer Browser etc. bringt wenig, wenn man sich die Sachen freiwillig a lá "bester_Crack_für_hL2.txt.exe" ins Haus holt! Nur so ein Tip ohne Bezug auf irgendwas Gruß [edit]ich such jetzt mal mit Kaffee anstossende Smilies :) [/edit] Schrulli |
Danke für die Tips... Stupermondi und Schrulli habe mir die Sachen durchgelesen und alles genau so gemacht wie es da aufgeführt ist. Ich nehme nur sachen an von Siten wo ich weiß das es nicht schädlich ist und Cracks lade ich sowieso nicht weil ich nur Orginal Spiele habe zwecks online Account usw. Das einzige was ich mache was ich nicht abstreiten kann ist ab und zu eine Mp3 zu laden kann diese denn auch solche Sachen enthalten? Da Kaspersky diese ja Scant bevor sie auf die Platte kommen... Mfg Marcel |
So habe jetzt das System nach der Anleitung neu aufgesetzt. und hoffe jetzt ist es sauber setzte anbei den Aktuellen HiJack log rein... Danke an alle Hurry Logfile of HijackThis v1.99.1 Scan saved at 15:31:45, on 13.03.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE D:\Programme\ICQLite\ICQLite.exe D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\Explorer.EXE E:\Programme\hijackthis\HijackThis.exe O4 - HKLM\..\Run: [KAV50] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss O4 - HKLM\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /O5 "LPT1:" /M "Stylus Photo R200" O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Unknown owner - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 (file missing) |
Hallo, für einen neuen Rechner sisht das kurze Log ganz normal aus. Hast Du die Anleitung zum Neuaufsetzten beachtet? Gruß Schrulli |
Ja habe ich Schrulli bin erst online gegangen nach dem alles drauf war sprich Kaspersky, Spybot, WEP und die Firewalls aktiv waren... Hätte ich beinah vergessen Xpantispy natürlich auch und alle sende sachen ausgeschaltet und autodownloads auch... Dank Dir nochmals für die Tips Hurry |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:26 Uhr. |
Copyright ©2000-2024, Trojaner-Board