Ständige Werbepopups oder leere IE-Browserfenster in der Taskleiste??

Thema ist geschlossen!
Thema ist geschlossen!
#0
24.08.2004, 11:05
Member

Beiträge: 1095
#16 @Corazon

Bitte mit Milch und 2 Löffel (nicht gehäuft) Zucker ;)

Gruß paff
P.S.
Poste bitte nochmal das HiJackThis Logfile.
Bitte aber mit der Windowsversion.
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
24.08.2004, 12:30
Member

Beiträge: 14
#17 @ paff,

O.K., gerührt oder geschüttelt? *g*

Hier die neue Logfile. Ich weiß nicht, was du mit Windows-Version meinst ...

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\DVDRAMSV.EXE
C:\WINNT\System32\rcapi.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINNT\System32\NALNTSRV.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wm.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\WINNT\soundman.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINNT\system32\NWTRAY.EXE
C:\Programme\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\WINNT\system32\internat.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\eMule\eMuleReactor4.1.exe
C:\Programme\Terminal Services Client\mstsc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINNT\System32\MsiExec.exe
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
C:\System\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [ABBYY Community Agent] C:\Programme\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [STOPzilla] "C:\Programme\STOPzilla!\Stopzilla.exe" /autorun
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Microsoft Outlook.lnk = C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Free History Cleaner - {ECC5778A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\Free History Cleaner\FreeHistoryCleaner (file missing)
O9 - Extra 'Tools' menuitem: Free History Cleaner - {ECC5778A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\Free History Cleaner\FreeHistoryCleaner (file missing)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/017c40edeac8adfeae05/netzip/RdxIE601_de.cab
O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - http://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{196C58B8-15F0-4B96-82FB-5D2F6E2B22EE}: NameServer = 194.25.2.129,212.185.253.136

Fernando
Seitenanfang Seitenende
24.08.2004, 12:43
Member

Beiträge: 69
#18 Das hier (oder so ähnlich) steht über jedem HJT Log. Das meint paff mit Windows-Version. Bitte mit posten!

Logfile of HijackThis v1.98.2
Scan saved at 17:01:37, on 23.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

brainbox
__________
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.4) Gecko/20060428 Firefox/1.5.0.4
Seitenanfang Seitenende
24.08.2004, 13:31
Member

Beiträge: 14
#19 Danke brainbox.

Hier nun der Rest:

Logfile of HijackThis v1.98.2
Scan saved at 11:32:24, on 24.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Ich glaube, wenn ich mit dem hier alles fertig bin, habe ich mir den Doktortitel verdient ... (oder war es der Idoit?)

Fernando
Seitenanfang Seitenende
24.08.2004, 13:36
Member

Beiträge: 1095
#20 @Carozon

Das logfile sieht soweit sauber aus.
Es gibt noch ein paar Schönheitreparaturen.
Alles mit (File Missing) kann gefixt werden.

Ein Anmerkung noch:
Du benutzt ein Programm namens NetPumper
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm

Hab ich gestern zufällig mal nachgeschaut. Die Free-Version dieses Programms hat Ad-Ware drin. Die Voll-Version nicht.
Link dazu
http://www.kephyr.com/spywarescanner/library/netpumper/index.phtml

Gruß paff
P.S: Sehe gerade noch deine IE Version. Du sollest unbedingt dein Windows bzw. den Internet-Explorer updaten.
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 24.08.2004 um 13:37 Uhr von paff editiert.
Seitenanfang Seitenende
24.08.2004, 13:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 @Corazon

#Mache die WindowsUpdates !
#Aktualisiere den IE
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6
#Deinstalliere den Netpumper (hatte ich schon zum Fixen angegeben)

#Entmuelle den Autostart(Tool tragen sich bei Verwendung wieder ein)
fixe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm

#Lade den Firefox und surfe nur mit ihm (sicherer als der IE)
http://www.firebird-browser.de/

#Ueberpruefe die Dienste, die laufen, aber unnuetzerweise
(notiere alles, damit du dich spaeter daran erinnerst, wenn du einen Dienst wieder brauchst)
Wer überflüssige Dienste außer Kraft setzt, entlastet das System und steigert die Performance. In der Regel können durch die Deaktivierung nicht benötigter Dienste mehrere MByte RAM zurückerobert werden. Unserem Testsytem mit Windows XP Professional standen nach dem Vorgang zusätzliche 30 MByte RAM wieder zur Verfügung.
Die Verwaltung von XP-Diensten erfolgt über das Dienste-Modul der Microsoft Management Console. Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
http://www.zdnet.de/z/itmanager/0,39023861,2103873-3,00.htm

Lies das durch...(alle Seiten) und entscheide, was du gefahrlos veraendern kannst

Das ist wichtig:
#TCP/IP-NetBIOS-Hilfsprogramm
Starttyp-Empfehlung: Deaktiviert
"Ermöglicht die Unterstützung vom NetBIOS-über-TCP/IP-Dienst (NetBT) und die NetBIOS-Namensauflösung."
Hinweis: Für die meisten Netzwerkverbindungen nicht erforderlich, und zugleich ein potentielles Sicherheitsproblem. Sollten nach dieser Einstellung Netzwerkprobleme auftauchen, Einstellung zurücksetzen

#Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren.(SICHERHEITSRISIKO)
<<auch unter Diensten deaktivieren)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 24.08.2004 um 13:51 Uhr von Sabina editiert.
Seitenanfang Seitenende
24.08.2004, 14:10
Member

Beiträge: 14
#22 Dank Euch allen noch mal, daß Ihr so eine Geduld mit mir hattet.

Ihr habt ja ganz schön was auf dem Kasten und ich finde es super, daß Ihr so uneigennützig den Usern helft.

@paff: ich hatte den neusten IE bereits drauf (lt. Mitteilung setup IE).

Schönen Feierabend aus Düsseldorf

Fernando
Seitenanfang Seitenende
24.08.2004, 14:17
Member

Beiträge: 1095
#23 @Corazon

Das ist sicher nicht der aktuelle IE
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Aktuell ist IE 6.0 SP1

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
24.08.2004, 14:21
Member

Beiträge: 14
#24 Ich habe ihn bereits heute morgen installiert (mit dem Windows-Update) aber den PC noch nicht wieder neu gestartet. habe, vielleicht wird er deshalb noch nicht angezeigt.

Fernando
Seitenanfang Seitenende
24.08.2004, 14:49
Member

Beiträge: 1095
#25 @Corazon

Alles Klar

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
25.08.2004, 09:09
Member

Beiträge: 14
#26 Hallo paff,

so, ich habe den Pc heute neu gestartet aber der IExplorer zeigt immer noch nicht den Sp1 an.

Die Updateinstallation meldet mir ständig, daß ich bereits die allerneueste Version drauf habe. Kann es daran liegen, daß dieses Sp1 lediglich für Windows XP ist!

Fernando
Seitenanfang Seitenende
25.08.2004, 09:23
Member

Beiträge: 1095
#27 @Corazon

Poste nochmal den oberen Teil des HiJackThis Logfiles

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
25.08.2004, 09:34
Member

Beiträge: 14
#28 @paff,

bitte:
Logfile of HijackThis v1.98.2
Scan saved at 08:37:27, on 25.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)
Seitenanfang Seitenende
25.08.2004, 13:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#29 @Corazon
Lade mal das :
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6
Dann poste das Lofile (das obere)
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 25.08.2004 um 13:38 Uhr von Sabina editiert.
Seitenanfang Seitenende
25.08.2004, 13:49
Member

Beiträge: 14
#30 Hallo Sabina,

genau den IExplorer habe ich heute schon 2 mal runtergeladen und auch installiert. Ändert bei mir gar nichts.

Fernando
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: