Jede Minute mehrere nervige Popups!!!

#0
30.10.2005, 12:14
...neu hier

Beiträge: 4
#1 HILFE!!! Bei mir erscheinen jede Minute mehrere Popup-Fenster! Mein HiJackThis Log:

Logfile of HijackThis v1.99.1
Scan saved at 12:07:07, on 30.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\xpmsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\U2VyaGF0RwAA\command.exe
D:\Schutz Programm\BProtected XP\protect.exe
D:\Nokia N90\Nokia CD\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\windows\sp2update00.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Nokia N90\Nokia CD\Nokia PC Suite 6\PcSync2.exe
D:\Internet Schutzprogramme\Search and destroy\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Internet Schutzprogramme\Hi Jack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [bProtected] D:\Schutz Programm\BProtected XP\protect.exe /auto
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Nokia N90\Nokia CD\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [msresearch] C:\windows\msresearch.exe
O4 - HKLM\..\Run: [sp2update] C:\windows\sp2update00.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [bProtected] D:\Schutz Programm\BProtected XP\protect.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] D:\Nokia N90\Nokia CD\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Internet Schutzprogramme\Search and destroy\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: eBay Powersuche - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?adv
O8 - Extra context menu item: eBay Produktsuche - D:\Andere\Ebay Programme\Preisvergleich Onlineshops\Preispiraten2\SearchEbay.htm
O8 - Extra context menu item: eBay Startseite - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?heim
O8 - Extra context menu item: Mein eBay - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?mein
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Preispiraten 2.1.3 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - D:\Andere\Ebay Programme\Preisvergleich Onlineshops\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B8AF451-A75D-408D-A778-2BB5399F2CDC}: NameServer = 195.50.140.252 195.50.140.114
O17 - HKLM\System\CCS\Services\Tcpip\..\{C0B1D6B2-AC8F-41A1-9C68-726061423C23}: NameServer = 192.168.0.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{D90CADF7-8BD2-4057-BDCF-22A9507B45DF}: NameServer = 192.168.0.2,192.168.0.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B8AF451-A75D-408D-A778-2BB5399F2CDC}: NameServer = 195.50.140.252 195.50.140.114
O20 - Winlogon Notify: IME - C:\WINDOWS\system32\hpl0233mg.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\U2VyaGF0RwAA\command.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: XPMSService - Unknown owner - C:\WINDOWS\system32\xpmsserv.exe
Seitenanfang Seitenende
30.10.2005, 12:48
Member
Avatar Gool

Beiträge: 4730
#2 Bitte fixen (Häkchen setzen und "fix checked" klicken):

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
O4 - HKLM\..\Run: [msresearch] C:\windows\msresearch.exe
O4 - HKLM\..\Run: [sp2update] C:\windows\sp2update00.exe
O20 - Winlogon Notify: IME - C:\WINDOWS\system32\hpl0233mg.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\U2VyaGF0RwAA\command.exe
O23 - Service: XPMSService - Unknown owner - C:\WINDOWS\system32\xpmsserv.exe

Killbox (Anleitung und Download): http://managor.de/killbox.htm

C:\windows\msresearch.exe
C:\windows\sp2update00.exe
C:\WINDOWS\system32\hpl0233mg.dll
C:\WINDOWS\U2VyaGF0RwAA\command.exe
C:\WINDOWS\system32\xpmsserv.exe

Nachdem der PC neugestartet wurde, lösche den Ordner C:\WINDOWS\U2VyaGF0RwAA\

Erstelle nach folgender Anleitung vier Logs, aus denen Du dann bitte die Einträge der vergangenen drei Wochen abkopierst (vor jedem Eintrag steht ein Datum; bitte die Pfadangabe mitkopieren):
http://virus-protect.org/datfindbat.html

Mache einen Scan mit eScanCheck und poste das Ergebnis: http://managor.de/escan.htm
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
30.10.2005, 15:06
...neu hier

Themenstarter

Beiträge: 4
#3 Managor danke! Ich glaube jetzt hat es geklappt. Hier die 4 Logs von datfindbat die du wolltest:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B4FD-C38D

Verzeichnis von C:\WINDOWS\SYSTEM32

30.10.2005 14:08 29.204 nvapps.xml
30.10.2005 14:08 235.104 wzhatm.dll
30.10.2005 14:07 235.104 enj4l11q1.dll
30.10.2005 13:43 235.104 l0l6la3s1d.dll
30.10.2005 11:20 235.104 waavusd.dll
30.10.2005 09:30 687.592 atmtd.dll
30.10.2005 09:30 687.592 atmtd.dll._
30.10.2005 07:42 234.272 fp2s03f7e.dll
30.10.2005 07:01 39.992 perfc009.dat
30.10.2005 07:01 48.156 perfc007.dat
30.10.2005 07:01 311.604 perfh009.dat
30.10.2005 07:01 316.594 perfh007.dat
30.10.2005 07:01 723.744 PerfStringBackup.INI
28.10.2005 16:42 235.104 woi.dll
28.10.2005 16:25 235.104 vrSendMail.dll
28.10.2005 15:57 14.848 BASSMOD.dll
28.10.2005 15:55 163.840 oddwrssk.exe
28.10.2005 15:55 45.056 wavcdlog.dll
28.10.2005 15:12 12.598 wpa.dbl
17.10.2005 19:58 65.536 QuickTimeVR.qtx
17.10.2005 19:57 49.152 QuickTime.qts
05.10.2005 03:09 2.301.792 MRT.exe


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B4FD-C38D

Verzeichnis von C:\DOKUME~1\SerhatG\LOKALE~1\Temp

30.10.2005 14:06 55 kb.log
30.10.2005 14:04 16.384 ~DF4C62.tmp
30.10.2005 13:46 786 PrePict.htm
30.10.2005 13:46 1.114.112 a007.tmp
30.10.2005 09:29 515.675 cmdinst.exe
30.10.2005 09:18 0 EPSLog.txt
30.10.2005 07:04 1.114.112 a006.tmp
28.10.2005 15:55 5.120 uninstall.exe
28.10.2005 15:55 66 cfin
28.10.2005 15:55 45 cfout.txt
28.10.2005 15:54 26.112 jfghjhhfgudk.exe
25.10.2005 21:54 0 aax17.tmp
25.10.2005 21:49 0 aax16.tmp
24.10.2005 14:59 0 aax10.tmp
23.10.2005 18:21 256 sedb.ldb
23.10.2005 16:40 102.400 sedb.mdb
22.10.2005 20:19 1.024 QTInstallCode.log
22.10.2005 20:19 4.197 qtplugin.log
22.10.2005 20:18 450.048 1ed217.mst
21.10.2005 17:35 16.384 ~WRF3934.tmp
21.10.2005 17:35 512 ~DF90FF.tmp
21.10.2005 17:35 512 ~DFE3F0.tmp
21.10.2005 16:52 512 ~DFFBF1.tmp
21.10.2005 16:46 512 ~DF770D.tmp
21.10.2005 16:46 512 ~DF76F2.tmp
21.10.2005 15:44 512 ~DF8120.tmp
21.10.2005 15:44 28.580 ~WRS3797.tmp
21.10.2005 15:34 16.384 ~WRF1737.tmp
21.10.2005 15:34 512 ~DFC3FB.tmp
15.10.2005 16:09 0 TMP26.zip
15.10.2005 13:39 161 User.ini
15.10.2005 13:39 36.833 Manifest.ini
15.10.2005 13:37 421 DelUS.bat
14.10.2005 14:49 3.236 mmctmp1732.tmp
14.10.2005 14:49 5.176 mmctmp1970.tmp
14.10.2005 14:49 1.472 mmctmp1631.tmp
14.10.2005 14:49 2.040 mmctmp1543.tmp
14.10.2005 14:49 1.080 mmctmp1849.tmp
14.10.2005 14:49 412 mmctmp2088.tmp
14.10.2005 14:49 328 mmctmp1680.tmp
14.10.2005 14:49 828 mmctmp2039.tmp
14.10.2005 14:49 1.428 mmctmp2130.tmp
14.10.2005 14:49 2.440 mmctmp1801.tmp
14.10.2005 14:49 2.992 mmctmp1895.tmp
13.10.2005 21:14 0 ACDA.tmp.wav
10.10.2005 21:46 0 DESCA.tmp
10.10.2005 21:46 0 DESC9.tmp
10.10.2005 21:46 0 DESC8.tmp
10.10.2005 21:46 0 DESC7.tmp
10.10.2005 21:46 0 DESC6.tmp
10.10.2005 21:46 0 DESC5.tmp
09.10.2005 23:08 387.072 34205d.mst
09.10.2005 22:35 75.264 1633ca.mst
09.10.2005 22:34 94.208 137825.mst
05.10.2005 16:50 0 ACD3.tmp.wav


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B4FD-C38D

Verzeichnis von C:\WINDOWS

30.10.2005 14:52 24 p1c7H
30.10.2005 14:13 1.910.856 WindowsUpdate.log
30.10.2005 14:08 0 0.log
30.10.2005 14:08 159 wiadebug.log
30.10.2005 14:08 50 wiaservc.log
30.10.2005 14:08 2.048 bootstat.dat
30.10.2005 11:31 54.156 QTFont.qfn
30.10.2005 09:29 0 msresearch1.dat
30.10.2005 09:28 40 teller2.chk
30.10.2005 09:24 3.886 mozver.dat
30.10.2005 07:28 2.359.350 ACD Wallpaper.bmp
28.10.2005 16:31 622 win.ini
28.10.2005 16:31 227 system.ini
28.10.2005 15:33 754 WORDPAD.INI
22.10.2005 20:18 1.409 QTFont.for
22.10.2005 13:56 132 winamp.ini
22.10.2005 11:01 267.705 setupapi.log
16.10.2005 12:48 695.125 iis6.log
16.10.2005 12:48 284.060 tsoc.log
16.10.2005 12:48 1.393 imsins.log
16.10.2005 12:48 209.623 comsetup.log
16.10.2005 12:48 30.436 tabletoc.log
16.10.2005 12:48 28.507 ocmsn.log
16.10.2005 12:48 127.830 ntdtcsetup.log
16.10.2005 12:48 11.483 KB896688.log
16.10.2005 12:48 106.049 netfxocm.log
16.10.2005 12:48 324.617 ocgen.log
16.10.2005 12:48 25.858 medctroc.Log
16.10.2005 12:48 30.636 msgsocm.log
16.10.2005 12:48 588.217 FaxSetup.log
16.10.2005 12:48 190.532 msmqinst.log
16.10.2005 12:48 22.626 updspapi.log
14.10.2005 13:31 1.393 imsins.BAK
14.10.2005 13:31 19.552 KB901017.log
14.10.2005 13:31 21.883 KB902400.log
14.10.2005 13:31 13.886 KB899589.log
14.10.2005 13:30 14.212 KB905414.log
14.10.2005 13:30 13.911 KB900725.log
14.10.2005 13:30 11.331 KB904706.log
14.10.2005 13:30 11.968 KB905749.log
10.10.2005 17:15 403 ODBC.INI
05.10.2005 16:48 183.667 wmsetup.log



30.10.2005 14:53 0 sys.txt
30.10.2005 14:52 13.018 system.txt
30.10.2005 14:51 19.892 systemtemp.txt
30.10.2005 14:47 126.246 system32.txt
30.10.2005 09:29 49.169 mte3ndm6odoxng.exe
28.10.2005 16:31 353 boot.ini
28.10.2005 15:54 6.656 ysbinstall_1003585.exe
28.10.2005 15:53 578.560 installer.exe
28.10.2005 15:53 40.960 drsmartload.exe
31.03.2005 16:57 211 BOOT.BKK


Escan funktioniert bei mir irgendwie nicht. Es erscheint einfach ein leeres Fenster.


Jetzt hab ich aber ein anderes Problem. Ich habe das Programm XP Optimal Stylen von Data Becker mit dem ich verschiedene Themes verwenden kann, aber meine Taskleiste und die Fenster und alles ist grau, egal welches Theme ich verwende. Hab ich vielleicht was falsches gelöscht? Woran könnte das liegen?

Oh nein! Gerade ist wieder so ein Sch... Popup erschienen! Hat doch nicht geklappt. Jetzt hab ich wohl zwei Probleme ;)
Ach mann! Das ist zum kotzen!
Naja vielleicht war das ne Ausnahme. Seit 10 Minuten sind keine weiteren Popups erschienen
Dieser Beitrag wurde am 30.10.2005 um 15:25 Uhr von der_extreme editiert.
Seitenanfang Seitenende
30.10.2005, 15:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 deinstalliere, falls du es findest:
"UCmore - The Search Accelerator"
"Command"
"Internet Optimizer"
"ISTsvc"
"Power Scan"
"Surf Accuracy"
"SideFind"
"TSA"
"YourSiteBar"

Gehe in die Registry

Start-->Ausfuehren--> regedit

HKCU\Control Panel\Desktop
LMDWallpaper
C:\WINDOWS\ACD Wallpaper.bmp" <---loesche

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
NoDispCPL
dword:00000001 --> aendere in 0

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools
dword:00000001 --> aendere in 0

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\lmeservice oder imdservice<--loesche

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
Hidden\NOHIDORSYS <--loesche

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\SYSTEM32\nvapps.xml
C:\WINDOWS\SYSTEM32\woi.dll
C:\WINDOWS\SYSTEM32\wzhatm.dll
C:\WINDOWS\SYSTEM32\enj4l11q1.dll
C:\WINDOWS\SYSTEM32\l0l6la3s1d.dll
C:\WINDOWS\SYSTEM32\waavusd.dll
C:\WINDOWS\SYSTEM32\atmtd.dll
C:\WINDOWS\SYSTEM32\atmtd.dll._
C:\WINDOWS\SYSTEM32\fp2s03f7e.dll
C:\WINDOWS\SYSTEM32\vrSendMail.dll
C:\WINDOWS\SYSTEM32\BASSMOD.dll
C:\WINDOWS\SYSTEM32\oddwrssk.exe
C:\WINDOWS\msresearch1.dat
C:\WINDOWS\ACD Wallpaper.bmp
C:\WINDOWS\davcsync.exe
C:\WINDOWS\system32\hpl0233mg.dll
C:\WINDOWS\lmdll.dll
C:\DOKUME~1\SerhatG\LOKALE~1\Temp\jfghjhhfgudk.exe
C:\DOKUME~1\SerhatG\LOKALE~1\Temp\PrePict.htm
C:\DOKUME~1\SerhatG\LOKALE~1\Temp\uninstall.exe
C:\DOKUME~1\SerhatG\LOKALE~1\Temp\cfin
C:\DOKUME~1\SerhatG\LOKALE~1\Temp\cfout.txt
C:\DOKUME~1\SerhatG\LOKALE~1\Temp\cmdinst.exe
C:\WINDOWS\teller2.chk
C:\mte3ndm6odoxng.exe
C:\drsmartload.exe
C:\ysbinstall_1003585.exe

PC neustarten

CCleaner (loesche alle temporaeren Dateien)
http://virus-protect.org/temp.html

wende Option 2 an (--> poste ann den scanbericht)
http://virus-protect.org/l2mfix.html

poste das log vom Silentrunner
http://virus-protect.org/silentrunner.html

Download Registry Search Tool :
Meldung (von Symantec) --- ignorieren
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip

Doppelklick:regsrch.vbs
reinkopieren:

XPMSService

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

cmdService

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)


-------------------
C:\ysbinstall_1003585.exe -> TrojanDownloader.IstBar.is
C:\drsmartload.exe -> Spyware.SmartLoad
C:\mte3ndi6odoxng.exe -> Spyware.ISearch
C:\WINDOWS\SYSTEM32\woi.dll -->Look2Me

W32/Lamud-A

[Windows folder]\ACD Wallpaper.bmp
[Windows folder]\davcsync.exe
[Windows folder]\lmdll.dll
[current user's Temp folder]\[random text].tmp (copy of "ACD Wallpaper.bmp")
http://www.sophos.com/virusinfo/analyses/w32lamuda.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: