Internet Explorer erstellt ständig neue Prozesse und Pop-up's !

#1 Hi !
Wie einige andere wahrscheinlich auch , hab ich das Problem, dass sich der IE aufeinmal mit Werbung öffnen wenn ich firefox starte !
Im Task Manager lässt sich der IE auch nicht mehr beenden , sondern erstellt immer neue Prozesse.

Hab hier mal einen Hijack erstellt. Kenne mich da leider nicht so mit aus. Vll kann mir ja jemand weiterhelfen.

Könnte es auch an dem Programm Netpumper liegen ?

Logfile of HijackThis v1.99.1
Scan saved at 16:19:11, on 18.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\ehome\ehtray.exe
E:\WINDOWS\system32\rundll32.exe
E:\Programme\Dell\QuickSet\quickset.exe
E:\WINDOWS\stsystra.exe
E:\Programme\Synaptics\SynTP\SynTPEnh.exe
E:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\WINDOWS\system32\rundll32.exe
E:\Programme\NetPumper\NetPumperIEProxy.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\WINDOWS\eHome\ehRecvr.exe
E:\WINDOWS\eHome\ehSched.exe
E:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\WINDOWS\system32\oodag.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\dllhost.exe
E:\WINDOWS\eHome\ehmsas.exe
C:\Winamp\winamp.exe
E:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\Steam\steam.exe
E:\WINDOWS\system32\taskmgr.exe
E:\Programme\Internet Explorer\iexplore.exe
e:\progra~1\intern~1\iexplore.exe
E:\Dokumente und Einstellungen\Jens Voget\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - E:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {D764998B-7A68-D0E7-D4BB-47AC0D16BF64} - E:\DOKUME~1\JENSVO~1\ANWEND~1\SECOND~1\balmsupport.exe (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [ehTray] E:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [Dell QuickSet] E:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SynTPEnh] E:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Adobe Photo Downloader] "E:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] E:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NetPumper] "E:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [lite file sign rect] E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bold cash lite file\SlowSign.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "E:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Regs dent] E:\DOKUME~1\JENSVO~1\ANWEND~1\ADMINS~1\Body obj program.exe
O4 - Startup: Client Default.lnk = E:\Programme\Samurize\Client.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with NetPumper - E:\Programme\NetPumper\AddUrl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C38266A-319F-4C5D-90ED-C8D9A7C01D59}: NameServer = 217.237.149.161 217.237.151.225
O20 - Winlogon Notify: WB - E:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - E:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - E:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - E:\WINDOWS\system32\oodag.exe

#2 R3ap3r

wer den NetPumper laedt - hat Probleme.....................

poste dieses Log hier
look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint
http://virus-protect.org/zip/look.zip
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Also Netpumper hab ich schonmal gelöscht, aber wie ich schon vermutet hab ohne Erfolg.

Hier mein Log :

Volume in Laufwerk E: hat keine Bezeichnung.
Volumeseriennummer: CC63-AFE9

Verzeichnis von E:\

14.07.2006 02:59 <DIR> 1CB302~1 1cb302ca9b69f2305f1baf769c
10.07.2006 15:12 <DIR> DELL
10.07.2006 14:53 <DIR> DOKUME~1 Dokumente und Einstellungen
20.07.2006 17:56 <DIR> GRABBE~1 GrabbedStuff
13.08.2006 16:17 <DIR> log
20.07.2006 17:50 <DIR> MIRAND~1 Miranda IM
15.08.2006 18:04 <DIR> PROGRA~1 Programme
10.07.2006 16:46 <DIR> Temp
19.08.2006 13:06 <DIR> WINDOWS
0 Datei(en) 0 Bytes
9 Verzeichnis(se), 28.078.645.248 Bytes frei
Volume in Laufwerk E: hat keine Bezeichnung.
Volumeseriennummer: CC63-AFE9

Verzeichnis von E:\

14.07.2006 02:59 <DIR> 1CB302~1 1cb302ca9b69f2305f1baf769c
10.07.2006 15:12 <DIR> DELL
10.07.2006 14:53 <DIR> DOKUME~1 Dokumente und Einstellungen
20.07.2006 17:56 <DIR> GRABBE~1 GrabbedStuff
13.08.2006 16:17 <DIR> log
20.07.2006 17:50 <DIR> MIRAND~1 Miranda IM
15.08.2006 18:04 <DIR> PROGRA~1 Programme
10.07.2006 16:46 <DIR> Temp
19.08.2006 13:06 <DIR> WINDOWS
0 Datei(en) 0 Bytes
9 Verzeichnis(se), 28.078.645.248 Bytes frei
Volume in Laufwerk E: hat keine Bezeichnung.
Volumeseriennummer: CC63-AFE9

Verzeichnis von E:\WINDOWS\tasks

18.08.2006 17:00 274 AE0A344C91A1B1A4.job
10.08.2004 14:00 65 desktop.ini
19.08.2006 13:04 6 SA.DAT
3 Datei(en) 345 Bytes
0 Verzeichnis(se), 28.078.645.248 Bytes frei

#4 sorry, mein Fehler.... du hast Windows auf E:\

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "E:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "E:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "E:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "E:\Programme\Gemeinsame Dateien" >>files.txt
dir "E:Windows\tasks" >>files.txt
dir "E:\Programme" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#5 Bitteschön

Volume in Laufwerk E: hat keine Bezeichnung.
Volumeseriennummer: CC63-AFE9

Verzeichnis von E:\Dokumente und Einstellungen\Jens Voget\Lokale Einstellungen\Anwendungsdaten

19.07.2006 21:29 <DIR> Adobe
29.07.2006 14:06 <DIR> Ahead
21.07.2006 20:00 <DIR> ApplicationHistory
18.08.2006 15:40 50.176 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
10.07.2006 15:03 143 fusioncache.dat
23.07.2006 00:04 27.296 GDIPFONTCACHEV1.DAT
04.08.2006 23:54 <DIR> Google
10.07.2006 16:48 <DIR> Identities
16.08.2006 22:09 <DIR> Microsoft
10.07.2006 16:37 <DIR> Mozilla
10.07.2006 15:45 <DIR> {7148F0A6-6813-11D6-A77B-00B0D0142030}
3 Datei(en) 77.615 Bytes
8 Verzeichnis(se), 28.060.516.352 Bytes frei
Volume in Laufwerk E: hat keine Bezeichnung.
Volumeseriennummer: CC63-AFE9

Verzeichnis von E:\Dokumente und Einstellungen\Jens Voget\Anwendungsdaten

14.08.2006 17:34 <DIR> Admin sect
22.07.2006 22:49 <DIR> Adobe
22.07.2006 17:57 2.100 AdobeDLM.log
22.07.2006 17:56 <DIR> AdobeUM
02.08.2006 18:23 <DIR> Ahead
18.08.2006 15:57 <DIR> Azureus
22.07.2006 17:57 0 dm.ini
19.08.2006 13:54 <DIR> dvdcss
13.07.2006 03:36 200 G-Force Prefs (WindowsMediaPlayer).txt
04.08.2006 23:54 <DIR> Google
10.07.2006 16:46 <DIR> ICQLite
10.07.2006 15:13 <DIR> Identities
15.08.2006 18:04 <DIR> Lavasoft
04.08.2006 03:21 <DIR> Macromedia
10.07.2006 16:37 <DIR> Mozilla
14.08.2006 17:35 <DIR> NetPumper
20.07.2006 02:56 <DIR> Otto
16.08.2006 18:00 <DIR> second setup
20.07.2006 00:37 <DIR> Skype
10.07.2006 15:45 <DIR> Sun
11.07.2006 00:06 <DIR> Template
10.07.2006 18:21 <DIR> vlc
3 Datei(en) 2.300 Bytes
19 Verzeichnis(se), 28.060.516.352 Bytes frei
Volume in Laufwerk E: hat keine Bezeichnung.
Volumeseriennummer: CC63-AFE9

Verzeichnis von E:\Dokumente und Einstellungen\All Users\Anwendungsdaten

12.07.2006 00:30 305 addr_file.html
19.07.2006 21:28 <DIR> Adobe
18.08.2006 17:13 <DIR> AntiVir PersonalEdition Classic
14.08.2006 17:34 <DIR> bold cash lite file
10.07.2006 16:29 <DIR> NVIDIA
19.07.2006 20:37 <DIR> Skype
14.07.2006 02:58 <DIR> Windows Genuine Advantage
26.07.2006 00:38 <DIR> Zylom
1 Datei(en) 305 Bytes
7 Verzeichnis(se), 28.060.516.352 Bytes frei
Volume in Laufwerk E: hat keine Bezeichnung.
Volumeseriennummer: CC63-AFE9

Verzeichnis von E:\Programme\Gemeinsame Dateien

29.07.2006 13:59 <DIR> .
29.07.2006 13:59 <DIR> ..
19.07.2006 21:28 <DIR> Adobe
29.07.2006 14:01 <DIR> Ahead
10.07.2006 14:45 <DIR> Dienste
10.07.2006 15:18 <DIR> InstallShield
10.07.2006 15:45 <DIR> Java
11.07.2006 00:01 <DIR> Microsoft Shared
10.07.2006 14:44 <DIR> MSSoap
10.07.2006 15:19 <DIR> ODBC
10.07.2006 15:19 <DIR> SpeechEngines
14.07.2006 18:44 <DIR> System
0 Datei(en) 0 Bytes
12 Verzeichnis(se), 28.060.516.352 Bytes frei
Volume in Laufwerk E: hat keine Bezeichnung.
Volumeseriennummer: CC63-AFE9

Verzeichnis von E:\Windows\tasks

Volume in Laufwerk E: hat keine Bezeichnung.
Volumeseriennummer: CC63-AFE9

Verzeichnis von E:\Programme

15.08.2006 18:04 <DIR> .
15.08.2006 18:04 <DIR> ..
14.08.2006 17:34 <DIR> Admin sect
20.07.2006 02:58 <DIR> Adobe
14.08.2006 17:34 <DIR> Anti-Leech
10.07.2006 16:16 <DIR> AntiVir PersonalEdition Classic
19.07.2006 22:04 <DIR> Azureus
10.07.2006 15:58 <DIR> Broadcom
10.07.2006 14:43 <DIR> ComPlus Applications
10.07.2006 15:36 <DIR> CONEXANT
27.07.2006 14:32 <DIR> CureROM
10.07.2006 18:15 <DIR> D-Tools
10.07.2006 15:24 <DIR> Dell
17.07.2006 19:40 <DIR> Digital Camera
08.08.2006 00:53 <DIR> DivX
10.07.2006 18:25 <DIR> Eidos
12.07.2006 18:42 <DIR> Futuremark
29.07.2006 13:59 <DIR> Gemeinsame Dateien
20.07.2006 02:54 <DIR> GemMasterGerman
20.07.2006 18:01 <DIR> Give Me Too 2.44
04.08.2006 23:53 <DIR> Google
18.07.2006 12:45 <DIR> ICQLite
18.08.2006 16:57 <DIR> ICQToolbar
18.08.2006 16:13 <DIR> Internet Explorer
10.07.2006 15:45 <DIR> Java
10.07.2006 17:24 <DIR> Lavalys
15.08.2006 18:04 <DIR> Lavasoft
18.07.2006 03:14 <DIR> LimeWire
14.07.2006 19:02 <DIR> Messenger
10.07.2006 14:48 <DIR> microsoft frontpage
11.07.2006 00:02 <DIR> Microsoft Works
28.07.2006 03:50 <DIR> Motherboard Monitor 5
10.07.2006 14:44 <DIR> Movie Maker
19.08.2006 13:18 <DIR> Mozilla Firefox
07.08.2006 23:52 <DIR> MSN
10.07.2006 14:39 <DIR> MSN Gaming Zone
29.07.2006 13:59 <DIR> Nero
10.07.2006 14:45 <DIR> NetMeeting
18.08.2006 17:08 <DIR> NetPumper
10.07.2006 14:42 <DIR> Online Services
10.07.2006 14:45 <DIR> Online-Dienste
21.07.2006 19:03 <DIR> OO Software
14.07.2006 18:44 <DIR> Outlook Express
13.08.2006 16:15 <DIR> Paradox
28.07.2006 03:41 <DIR> Samurize
10.07.2006 15:35 <DIR> SigmaTel
19.07.2006 20:37 <DIR> Skype
27.07.2006 01:45 <DIR> Stardock
18.08.2006 15:57 <DIR> Steam
10.07.2006 15:39 <DIR> Synaptics
27.07.2006 02:24 <DIR> TGTSoft
10.07.2006 18:18 <DIR> VideoLAN
28.07.2006 03:41 <DIR> Windows Media Player
10.07.2006 14:39 <DIR> Windows NT
10.07.2006 14:42 <DIR> Windows Plus
17.07.2006 20:08 <DIR> WinRAR
10.07.2006 14:48 <DIR> xerox
15.08.2006 17:55 <DIR> xp-AntiSpy
26.07.2006 00:38 <DIR> Zylom Games
0 Datei(en) 0 Bytes
59 Verzeichnis(se), 28.060.512.256 Bytes frei

#6 R3ap3r

Information Lop-Swizzor/Trojaner
http://virus-protect.org/artikel/spyware/lop1.html
NetPumper
Anti-Leech

---------------------------------------------------------------------

1.
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html


2.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {D764998B-7A68-D0E7-D4BB-47AC0D16BF64} - E:\DOKUME~1\JENSVO~1\ANWEND~1\SECOND~1\balmsupport.exe (file missing)

O4 - HKLM\..\Run: [NetPumper] "E:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [lite file sign rect] E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bold cash lite file\SlowSign.exe
O4 - HKCU\..\Run: [Regs dent] E:\DOKUME~1\JENSVO~1\ANWEND~1\ADMINS~1\Body obj program.exe

O8 - Extra context menu item: Download with NetPumper - E:\Programme\NetPumper\AddUrl.htm

PC neustarten (in den abgesicherten Modus) --> F8 drücken, wenn der PC hochfährt
das ist notwendig, denn im Normalmodus kann man die Dateien nicht löschen.


loesche:

E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bold cash lite file
E:\Dokumente und Einstellungen\Jens Voget\Anwendungsdaten\Admin sect
E:\Dokumente und Einstellungen\Jens Voget\Anwendungsdaten\NetPumper
E:\Dokumente und Einstellungen\Jens Voget\Anwendungsdaten\second setup

E:\Programme\NetPumper
E:\Programme\Anti-Leech


**
boote wieder in den normalmodus

**
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften ---> Reiter Systemwiederherstellung ---> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren)

**
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

%systemdrive%
cd E:\WINDOWS\Tasks
attrib -r -s -h AE0A344C91A1B1A4.job
del AE0A344C91A1B1A4.job

- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal

**
Counterspy --> löscht die Eintraege in der Registry von Netpumper
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:
*Remove
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Mhh schein geholfen zu haben !
Wie kanns, dass du dich sogut auskennst ? Scheint mir ja fast so, als würdest du das Haupberuflich machen

Naja, vielen Dank erstmal an dich.
Denke jetzt hab ich Ruhe.

Mfg Jens