cmd.exe --> Dos-Fenster & Popups im Internet

#1 Halllo erstmal...
aaalso ich bin erst 17 und versteh bestimmt nciht so viel von PC's wie ihr alle aber irgendwie nervts mich langsam doch ein bissl, dass irgendwelche blöden popups mich fast zu tode nerven.

kaum bin ich im internet öffnet sich ein popup von nubea oder sowas .. mediatickets...daraufhin schlägt dann mein antivir alarm:

DR/PurScan.b <-- ist ein Dropper (was auch immer das ist)

wie dem auch sei..ich kann ihn löschen so oft ich will er kommt immer wieder.

naja und dann gibt es da noch die cmd.exe datei. da öffnet sich ein dos fenster und verschwindet danach wieder. und manchmal kommt danach eben auch ein popup. vielleicht hängt das iwie zsm ??

naja und sonstige infos:
hab win xp professional
antivir
und spybot search&destroy

also bitte um hilfe ! wär echt nett wenn ihr mir sagen könntet woran das liegt und vor allem wie ich das wieder weg kriege,

viele grüße, anna

#2 Poste bitte ein Hijackthis log, damit kann dir hier besser und schneller gehlofen werden:
http://board.protecus.de/t9391.htm
__________
MfG Ralf
SEO-Spam Hunter

#3 Also..ich hoffe mal, dass ich alles richtig gemacht habe:

edit: in der letzten zeile steht etwas vom mediaticketsinstaller (wo auch immer ich den herhab)...und das ist auch ab und zu mal ein pop-up. bei dieser automatischen auswertung kam auch raus, dass das "böse" ist. nur wie krieg ich das jetzt wieder weg?

Logfile of HijackThis v1.98.0
Scan saved at 08:43:05, on 17.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Trust\305KS\Mouse\mouse32a.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Trust\305KS\Keyboard\KbdAp32A.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\NAVSCAN32.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\Programme\Miranda IM\miranda32.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe
c:\hah.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\GUARDGUI.EXE
C:\Dokumente und Einstellungen\Anna\Eigene Dateien\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
O2 - BHO: (no name) - {4FA83000-B23E-0B9F-D756-16550FA42940} - C:\WINDOWS\System32\eof.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [FLMBROWSEMOUSE] C:\Programme\Trust\305KS\Mouse\mouse32a.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Trust\305KS\Keyboard\MMKEYBD.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NAVSCAN32.EXE] NAVSCAN32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [NAVSCAN32.EXE] NAVSCAN32.exe
O4 - HKCU\..\Run: [NAVSCAN32.EXE] NAVSCAN32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct1_x.cab
O16 - DPF: Yahoo! Graffiti - http://download.games.yahoo.com/games/clients/y/grt5_x.cab
O16 - DPF: {91BE8DAC-957E-416C-B735-E2B63CDB915B} (MyEMessengerSetup Control) - http://www.myemessenger.com/activex/MyEMessengerSetupProject.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C90E73A-43C1-4547-AB16-7F08EF3100B5}: NameServer = 81.173.194.68 194.8.194.60

#4 Fix mal bitte das:

O2 - BHO: (no name) - {4FA83000-B23E-0B9F-D756-16550FA42940} - C:\WINDOWS\System32\eof.dll (file missing)
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NAVSCAN32.EXE] NAVSCAN32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [NAVSCAN32.EXE] NAVSCAN32.exe
O4 - HKCU\..\Run: [NAVSCAN32.EXE] NAVSCAN32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab

starte neu und schicke diese Datei bitte an virus@protecus.de C:\WINDOWS\System32\NAVSCAN32.exe
__________
MfG Ralf
SEO-Spam Hunter

#5 Ehm vielleicht blöde Frage, aber wie mach ich das? Auch mit diesem Programm? Also das, was diese Log-Datei gemacht hat?

#6 @swebu

Fixen heißt Eintrag ankreuzen und FixChecked drücken

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#7 Ok, alles weg. Danke!
@raman: Ich schick die Datei jetzt per eMail weg. Achso...was ist das denn für eine Datei?

#8 Die Antwort solltest du ja inzwischen haben! Ich habe mir schon gedacht, das es ein ...Bot Wurm ist, nur hatte ich ihn noch nie im Zusammenhang mit dem Namen gesehen.
__________
MfG Ralf
SEO-Spam Hunter

#9 Ich lass das Virenprogramm nochmal druchlaufen und der findet etliche "Dropper" PurScan.b

Was ist das??