netpumper popups

#0
24.09.2006, 20:36
...neu hier

Beiträge: 2
#1 hi habe auch das prob mit netpumper hier die log
kann mir mal wer helfen
und auch nach anderen sachen gucken

Logfile of HijackThis v1.99.1
Scan saved at 20:33:15, on 24.09.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\NetPumper\NetPumperIEProxy.exe
C:\WINDOWS\System32\ctfmon.exe
C:\programme\steam\steam.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\mIRC\mirc.exe
C:\Program Files\VentriloMIX\Ventrilo 2.1.4.exe
C:\Dokumente und Einstellungen\rebel\Desktop\RefreshLock.exe
C:\Dokumente und Einstellungen\rebel\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2C27F0F0-F895-B365-34FC-BECF17B7C8B5} - C:\DOKUME~1\rebel\ANWEND~1\LOVEST~1\Save Mpeg.exe
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [RectMpegGlueSend] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\citysignrectmpeg\32 help.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Safe Readme] C:\DOKUME~1\rebel\ANWEND~1\BOLTWI~1\support poke.exe
O4 - Startup: Verknüpfung mit RefreshLock.lnk = C:\Dokumente und Einstellungen\rebel\Desktop\RefreshLock.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe
Seitenanfang Seitenende
24.09.2006, 21:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint
http://virus-protect.org/zip/look.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.09.2006, 18:13
...neu hier

Beiträge: 3
#3 das war für mich gedacht... wohin soll ich den text abkopieren? wär nett wenn einer das mal erklärt... danke
Seitenanfang Seitenende
28.09.2006, 20:33
Member

Beiträge: 130
#4

Zitat

neaera postete
das war für mich gedacht... wohin soll ich den text abkopieren? wär nett wenn einer das mal erklärt... danke
hier ins forum. wobei ich nicht verstehe was du mit dem "das war für mich gedacht" meinst^^ naja egal
Seitenanfang Seitenende
29.09.2006, 00:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5

Zitat

wohin soll ich den text abkopieren?
klar, hierhin natuerlich, damit ich die Txt sehen kann ;)

(so sehr ich mich auch bemuhe, gut zu erklaeren - es haut nicht hin...was fuer Fragen manche stellen, es geht ueber mein Begriffsvermoegen...) ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.09.2006, 12:11
...neu hier

Beiträge: 3
#6 ja ich hab das problem, nicht kappi, und das war etwas undeutlich formuliert aber ich bin auch etwas verpeilt. ich danke nur dass ihr mir helft. hier is der text:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 307B-4717

Verzeichnis von C:\Dokumente und Einstellungen\rebel\Anwendungsdaten

11.08.2006 14:08 <DIR> Adobe
04.09.2006 14:57 869 AdobeDLM.log
11.08.2006 14:09 <DIR> AdobeUM
14.09.2006 17:12 <DIR> Ahead
01.08.2006 12:41 <DIR> APPLEC~1 Apple Computer
01.08.2006 13:37 <DIR> atitray
23.09.2006 17:47 <DIR> BOLTWI~1 Bolt Window Cake
04.09.2006 14:57 0 dm.ini
09.09.2006 13:04 <DIR> Help
10.09.2006 13:00 <DIR> ICQLite
31.07.2006 14:57 <DIR> IDENTI~1 Identities
12.08.2006 11:43 <DIR> LEADER~1 Leadertech
31.07.2006 15:58 <DIR> Logitech
23.09.2006 17:47 <DIR> LOVEST~1 Lovestyle
31.07.2006 15:13 <DIR> MACROM~1 Macromedia
04.08.2006 13:28 <DIR> Mozilla
23.09.2006 17:49 <DIR> NETPUM~1 NetPumper
04.08.2006 14:05 <DIR> Sun
27.09.2006 15:53 <DIR> TEAMSP~1 teamspeak2
31.07.2006 17:28 <DIR> Ventrilo
2 Datei(en) 869 Bytes
18 Verzeichnis(se), 59.431.297.024 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 307B-4717

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

01.08.2006 12:43 305 ADDR_F~1.HTM addr_file.html
12.08.2006 11:44 <DIR> Adobe
27.09.2006 16:16 <DIR> ANTIVI~1 AntiVir PersonalEdition Classic
01.08.2006 12:40 <DIR> APPLEC~1 Apple Computer
23.09.2006 17:47 <DIR> CITYSI~1 citysignrectmpeg
1 Datei(en) 305 Bytes
4 Verzeichnis(se), 59.431.297.024 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 307B-4717

Verzeichnis von C:\WINDOWS\tasks

29.08.2002 14:00 65 desktop.ini
28.09.2006 10:02 6 SA.DAT
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 59.431.297.024 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 307B-4717

Verzeichnis von C:\Dokumente und Einstellungen\rebel\Anwendungsdaten

11.08.2006 14:08 <DIR> Adobe
04.09.2006 14:57 869 AdobeDLM.log
11.08.2006 14:09 <DIR> AdobeUM
14.09.2006 17:12 <DIR> Ahead
01.08.2006 12:41 <DIR> APPLEC~1 Apple Computer
01.08.2006 13:37 <DIR> atitray
23.09.2006 17:47 <DIR> BOLTWI~1 Bolt Window Cake
04.09.2006 14:57 0 dm.ini
09.09.2006 13:04 <DIR> Help
10.09.2006 13:00 <DIR> ICQLite
31.07.2006 14:57 <DIR> IDENTI~1 Identities
12.08.2006 11:43 <DIR> LEADER~1 Leadertech
31.07.2006 15:58 <DIR> Logitech
23.09.2006 17:47 <DIR> LOVEST~1 Lovestyle
31.07.2006 15:13 <DIR> MACROM~1 Macromedia
04.08.2006 13:28 <DIR> Mozilla
23.09.2006 17:49 <DIR> NETPUM~1 NetPumper
04.08.2006 14:05 <DIR> Sun
27.09.2006 15:53 <DIR> TEAMSP~1 teamspeak2
31.07.2006 17:28 <DIR> Ventrilo
2 Datei(en) 869 Bytes
18 Verzeichnis(se), 59.424.964.608 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 307B-4717

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

01.08.2006 12:43 305 ADDR_F~1.HTM addr_file.html
12.08.2006 11:44 <DIR> Adobe
27.09.2006 16:16 <DIR> ANTIVI~1 AntiVir PersonalEdition Classic
01.08.2006 12:40 <DIR> APPLEC~1 Apple Computer
23.09.2006 17:47 <DIR> CITYSI~1 citysignrectmpeg
1 Datei(en) 305 Bytes
4 Verzeichnis(se), 59.424.960.512 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 307B-4717

Verzeichnis von C:\WINDOWS\tasks

29.08.2002 14:00 65 desktop.ini
28.09.2006 12:19 6 SA.DAT
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 59.424.960.512 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 307B-4717

Verzeichnis von C:\Dokumente und Einstellungen\rebel\Anwendungsdaten

11.08.2006 14:08 <DIR> Adobe
04.09.2006 14:57 869 AdobeDLM.log
11.08.2006 14:09 <DIR> AdobeUM
14.09.2006 17:12 <DIR> Ahead
01.08.2006 12:41 <DIR> APPLEC~1 Apple Computer
01.08.2006 13:37 <DIR> atitray
23.09.2006 17:47 <DIR> BOLTWI~1 Bolt Window Cake
04.09.2006 14:57 0 dm.ini
09.09.2006 13:04 <DIR> Help
10.09.2006 13:00 <DIR> ICQLite
31.07.2006 14:57 <DIR> IDENTI~1 Identities
12.08.2006 11:43 <DIR> LEADER~1 Leadertech
31.07.2006 15:58 <DIR> Logitech
23.09.2006 17:47 <DIR> LOVEST~1 Lovestyle
31.07.2006 15:13 <DIR> MACROM~1 Macromedia
04.08.2006 13:28 <DIR> Mozilla
23.09.2006 17:49 <DIR> NETPUM~1 NetPumper
04.08.2006 14:05 <DIR> Sun
27.09.2006 15:53 <DIR> TEAMSP~1 teamspeak2
31.07.2006 17:28 <DIR> Ventrilo
2 Datei(en) 869 Bytes
18 Verzeichnis(se), 59.339.038.720 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 307B-4717

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

01.08.2006 12:43 305 ADDR_F~1.HTM addr_file.html
12.08.2006 11:44 <DIR> Adobe
28.09.2006 16:16 <DIR> ANTIVI~1 AntiVir PersonalEdition Classic
01.08.2006 12:40 <DIR> APPLEC~1 Apple Computer
23.09.2006 17:47 <DIR> CITYSI~1 citysignrectmpeg
1 Datei(en) 305 Bytes
4 Verzeichnis(se), 59.339.038.720 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 307B-4717

Verzeichnis von C:\WINDOWS\tasks

29.08.2002 14:00 65 desktop.ini
29.09.2006 12:01 6 SA.DAT
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 59.339.038.720 Bytes frei
Seitenanfang Seitenende
29.09.2006, 12:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 ««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Folders to delete:
C:\Programme\NetPumper
C:\Dokumente und Einstellungen\rebel\Anwendungsdaten\Bolt Window Cake
C:\Dokumente und Einstellungen\rebel\Anwendungsdaten\Lovestyle
C:\Dokumente und Einstellungen\rebel\Anwendungsdaten\NetPumper
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\citysignrectmpeg
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint

---------------------------------------------------------------------

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {2C27F0F0-F895-B365-34FC-BECF17B7C8B5} - C:\DOKUME~1\rebel\ANWEND~1\LOVEST~1\Save Mpeg.exe

O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"

O4 - HKLM\..\Run: [RectMpegGlueSend] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\citysignrectmpeg\32 help.exe

O4 - HKCU\..\Run: [Safe Readme] C:\DOKUME~1\rebel\ANWEND~1\BOLTWI~1\support poke.exe

O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
PC neustarten

««
Counterspy --> löscht die Eintraege in der Registry von MessengerPlus! 3 und Netpumper
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove

««
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften ---> Reiter Systemwiederherstellung ---> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.09.2006, 15:44
...neu hier

Beiträge: 3
#8 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\inwywoom

*******************

Script file located at: \??\C:\WINDOWS\System32\qrk^veff.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder C:\Programme\NetPumper deleted successfully.
Folder C:\Dokumente und Einstellungen\rebel\Anwendungsdaten\Bolt Window Cake deleted successfully.
Folder C:\Dokumente und Einstellungen\rebel\Anwendungsdaten\Lovestyle deleted successfully.
Folder C:\Dokumente und Einstellungen\rebel\Anwendungsdaten\NetPumper deleted successfully.
Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\citysignrectmpeg deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
30.09.2006, 16:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 nun fixe mit hijackThis, dann loesche das backup vom Avenger unter C:\Avenger\backup.zip und scanne mit Counterspy, stelle alles auf remove und poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: