Browser Poppt von alleine auf.

Thema ist geschlossen!
Thema ist geschlossen!
#0
30.01.2006, 18:13
...neu hier

Beiträge: 3
#1 HI zusammen,

Tja mein erster Post hier ist leider nicht so schön.

Und zwar, mein Internet explorer und mein Firefox (den ich deinstaliert habe wieder) poppen regelmässig auf mit werbung für anti spyware progroame oder ähnlichem Dubiosem zeugs, ich habe schon Ad aware CWS shredder und spybot s&d rüberlaufen lassen, es wurde zwar ,leider, ne menge egfunden, aber das Problem ist immer noch da! zwar nciht mehr so oft wie anfangs aber es poppen immer noch fenster aus dem nichts aus, der Iexplorer kann auch geschlossen bleiben, ist egal sie poppen trotzdem auf. habe eine datei gefunden die da heisst IBM00001.exe die hab ich auch schon gelöscht, hat trotzdem nichts gebracht, auch eine secur32.html die im c: root lag wurde schon gelöscht. trotzdem nichts gebracht,

hier mal mein HIJACKTHIS log:


Logfile of HijackThis v1.99.1
Scan saved at 18:04:22, on 30.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\iolo\System Mechanic Professional 6\IoloSGCtrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
D:\Programme\Skype\Phone\Skype.exe
C:\Programme\Yahoo!\Messenger\ypager.exe
C:\Programme\TypeItIn\TypeItIn.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
O:\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [GMX SMS-Manager] C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
O4 - HKCU\..\Run: [Skype] "d:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - Startup: TypeItIn.lnk = C:\Programme\TypeItIn\TypeItIn.exe
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137232378267
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O20 - Winlogon Notify: Nls - C:\WINDOWS\system32\n42u0ef9eh2.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iolo System Guard (IOLO_SRV) - Unknown owner - C:\Programme\iolo\System Mechanic Professional 6\IoloSGCtrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


evtl. kann mir ja wer helfen hier!

Danke und gruss

Linus02


NACHTRAG:


Habe grad festgestellt, das in meiner host datei ne menge drin steht und zwar:

127.0.0.1 sds-qckads.com
127.0.0.1 status.qckads.com
127.0.0.1 www.qoolaid.com
127.0.0.1 www.qoologic.com
127.0.0.1 www.CLKPrecision.com
127.0.0.1 www.urllogic.com
127.0.0.1 www.clkoptimizer.com
127.0.0.1 www.isearch.com
127.0.0.1 isearch.com
127.0.0.1 www.idownload.com
127.0.0.1 idownload.com
127.0.0.1 www.mytotalsearch.com
127.0.0.1 mytotalsearch.com
127.0.0.1 www.lop.com
127.0.0.1 lop.com
127.0.0.1 www.websearch.com
127.0.0.1 websearch.com
127.0.0.1 www.page-not-found.net
127.0.0.1 page-not-found.net
127.0.0.1 www.isearchhere.com
127.0.0.1 isearchhere.com
127.0.0.1 as.adwave.com
127.0.0.1 sr.adwave.com
127.0.0.1 www.adwave.com
127.0.0.1 adwave.com EVENT:HOST:127.0.0.1
127.0.0.1 www.pacimedia.com
127.0.0.1 www.exactsearch.net
127.0.0.1 www.contextplus.net


jedesmal wenn ich das raus lösche, kommt es immer wieder...ich verzweifel
Dieser Beitrag wurde am 30.01.2006 um 18:49 Uhr von Linus02 editiert.
Seitenanfang Seitenende
30.01.2006, 19:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Linus02

das ist der Look2me...einige Schritte ...und alles ist sauber ;)

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.01.2006, 20:06
...neu hier

Themenstarter

Beiträge: 3
#3 CLEAN UP sagt mir das die datei INDEX.DAT , die sich in vielen ordnern befindet wo cleanup reinschaut, nicht gelöscht werden kann, auch ein neustart bringt nix

OK hier also die files:


Datentr„ger in Laufwerk C: ist Linus02
Volumeseriennummer: 4C75-36F2

Verzeichnis von C:\WINDOWS\system32

30.01.2006 19:23 43.573 nvapps.xml
30.01.2006 19:23 233.971 nqmarta.dll
30.01.2006 19:21 236.702 ir64l5jq1.dll
30.01.2006 18:00 233.971 k644lghq164e.dll
30.01.2006 14:34 406 ioloBootDefrag.cfg
30.01.2006 14:26 236.702 ngmccs.dll
30.01.2006 14:26 236.730 e8200ifme82a0.dll
30.01.2006 14:24 236.702 kxdnec.dll
30.01.2006 14:24 233.895 irr2l59o1.dll
30.01.2006 13:02 237.046 mvj4l91q1.dll

30.01.2006 12:01 13.002 wpa.dbl
25.01.2006 13:57 49.152 pxhpinst.exe
25.01.2006 13:54 28.672 VXBLOCK.dll
25.01.2006 13:54 274.432 pxdrv.dll
25.01.2006 13:54 397.312 pxwave.dll
25.01.2006 13:54 139.264 pxmas.dll
25.01.2006 13:54 434.176 px.dll
18.01.2006 18:43 43.520 CmdLineExt03.dll
18.01.2006 13:05 57.344 avsda.dll
14.01.2006 13:29 40.128 perfc009.dat
14.01.2006 13:29 311.740 perfh009.dat
14.01.2006 13:29 48.354 perfc007.dat
14.01.2006 13:29 316.924 perfh007.dat
14.01.2006 13:29 723.744 PerfStringBackup.INI
14.01.2006 13:27 91.888 FNTCACHE.DAT
14.01.2006 12:33 253 spupdwxp.log


FILE 2:

Datentr„ger in Laufwerk C: ist Linus02
Volumeseriennummer: 4C75-36F2

Verzeichnis von C:\DOKUME~1\Linus\LOKALE~1\Temp

FILE 3:

Datentr„ger in Laufwerk C: ist Linus02
Volumeseriennummer: 4C75-36F2

Verzeichnis von C:\WINDOWS

30.01.2006 19:23 0 0.log
30.01.2006 19:22 629.949 WindowsUpdate.log
30.01.2006 19:22 2.048 bootstat.dat
30.01.2006 19:21 5.220 SchedLgU.Txt
30.01.2006 18:32 107.132 UninstallFirefox.exe
30.01.2006 18:32 4.831 mozver.dat
30.01.2006 18:06 54.156 QTFont.qfn
30.01.2006 17:59 120.830 ntbtlog.txt
30.01.2006 15:51 286 SysMech6.INI
30.01.2006 15:30 519 win.ini
30.01.2006 15:30 227 system.ini
30.01.2006 15:00 954.841 setupapi.log
30.01.2006 14:21 120 is-V9UUE.lst
30.01.2006 14:21 10.586 is-V9UUE.msg
30.01.2006 14:21 657.408 is-V9UUE.exe
30.01.2006 12:08 796.672 GPInstall.exe

30.01.2006 11:41 43 drsmartload2.dat
30.01.2006 11:38 0 uniq

27.01.2006 19:46 69 NeroDigital.ini
24.01.2006 17:09 176.910 setupact.log
19.01.2006 00:10 1.409 QTFont.for


FILE 4:

Datentr„ger in Laufwerk C: ist Linus02
Volumeseriennummer: 4C75-36F2

Verzeichnis von C:\

30.01.2006 20:06 0 sys.txt
30.01.2006 20:05 7.504 system.txt
30.01.2006 20:05 127 systemtemp.txt
30.01.2006 20:03 97.036 system32.txt
30.01.2006 19:59 429 datFind.bat
30.01.2006 19:22 1.409.286.144 pagefile.sys
30.01.2006 15:30 211 boot.ini
14.01.2006 12:14 47.564 NTDETECT.COM
14.01.2006 12:14 251.184 ntldr
14.01.2006 10:42 0 IO.SYS
14.01.2006 10:42 0 CONFIG.SYS
14.01.2006 10:42 0 AUTOEXEC.BAT
14.01.2006 10:42 0 MSDOS.SYS
18.08.2001 13:00 4.952 bootfont.bin
14 Datei(en) 1.409.695.151 Bytes
0 Verzeichnis(se), 2.078.285.824 Bytes frei


ich muss dazu sagen, das ich ca. mitte januar neu formatiert habe.

Danke erstmal und gruss

Linus02
Dieser Beitrag wurde am 30.01.2006 um 20:21 Uhr von Linus02 editiert.
Seitenanfang Seitenende
30.01.2006, 23:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

iolo System Guard

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

"Enter search strings" (reinschreiben oder reinkopieren)

System Mechanic Professional 6

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

----------------------------------------------------------------------------

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

Nun werden alle laufenden Dienste angezeigt. Hier den Punkt " iolo System Guard (IOLO_SRV)" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
" iolo System Guard (IOLO_SRV) " beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

----------------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren:

C:\WINDOWS\System32\nqmarta.dll
C:\WINDOWS\System32\ir64l5jq1.dll
C:\WINDOWS\System32\k644lghq164e.dll
C:\WINDOWS\System32\ioloBootDefrag.cfg
C:\WINDOWS\System32\ngmccs.dll
C:\WINDOWS\System32\e8200ifme82a0.dll
C:\WINDOWS\System32\kxdnec.dll
C:\WINDOWS\System32\irr2l59o1.dll
C:\WINDOWS\System32\guard.tmp
C:\WINDOWS\System32\mvj4l91q1.dll
C:\WINDOWS\system32\n42u0ef9eh2.dll
C:\WINDOWS\SysMech6.INI
C:\WINDOWS\is-V9UUE.lst
C:\WINDOWS\is-V9UUE.msg
C:\WINDOWS\is-V9UUE.exe
C:\WINDOWS\GPInstall.exe
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\uniq

PC neustarten

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

deinstallieren:
iolo System Guard

C:\Programme\iolo\System Mechanic Professional 6\IoloSGCtrl.exe
C:\Programme\iolo -->loeschen

L2mfix
arbeite Option 2 ab...und poste nach Neustart+ Scan den scanreport
http://virus-protect.org/l2mfix.html

Zitat

When Adware.PopAdStop is executed, it performs the following actions:
1. Copies the file, %Windir%\GPinstall.exe.
http://securityresponse.symantec.com/avcenter/venc/data/adware.popadstop.html

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.01.2006, 09:28
...neu hier

Themenstarter

Beiträge: 3
#5 HI Sabina, danke dür die Hilfe,

---
L2mfix
arbeite Option 2 ab...und poste nach Neustart+ Scan den scanreport
http://virus-protect.org/l2mfix.html

---

Das hat geholfen! er hat mehrere Prozesse gefunden, die im Speicher residierten, und Einträge in der registry, nach einem neustart wurde alles beseitigt, und ich hab keine Probleme mehr mit dieser Ätzenden Malware!

Iolo System Mechanic ist ein Nützliches tool! Welches einem einfach und schnell alles auflistet was in seinem PC los ist! habe es aber schon wieder deinstalliert, da ich nur kurz eine Funktion benötigte.

Vielen dank an dich und an das Board!

Gruss

Linus02
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: