Problem mit ständig sich öffnenden Werbe-Popups

#1 Hallo allerseits,
seit gestern habe ich das Problem, dass sich bei mir ständig Werbe-Popups öffnen. Und das auch, obwohl ich den IE gar nicht geöffnet habe. Das Malheur passiert, seit ich ein Kartenspiel installiert habe. Ich habe das Spiel sofort wieder deinstalliert, habe dann anschließend meinen Virenscanner (ich benutze Avira Premium Security Suite) laufen lassen, und zusätzlich auch noch Navilog1. Ich dachte, damit wäre das Problem gelöst. Dem ist aber nicht so. Könnte sich vllt. mal jemand mein Logfile ansehen, bitte. Ich bin für jede Hilfe dankbar und bedanke mich im Voraus.

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:16:17, on 24.08.2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal


Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskhost.exe
C:\Program Files\ASUS\EPU-4 Engine\FourEngine.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
C:\Windows\System32\oodtray.exe
C:\Program Files\CyberLink\PowerDVD9\PDVD9Serv.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\SlySoft\AnyDVD\AnyDVDtray.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe
C:\Program Files\FRITZ!DSL\StCenter.exe
C:\Users\Achim\AppData\Local\Apps\2.0\0XP46AMO.YK0\3HBHJ3GV.3Z8\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf169ed5c0c1\fritzbox-usb-fernanschluss.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
D:\CryptLoad_1.1.8\CryptLoad.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Corel File Shell Monitor] C:\Program Files\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
O4 - HKLM\..\Run: [OODefragTray] C:\Windows\system32\oodtray.exe
O4 - HKLM\..\Run: [PDVD9LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD9\Language\Language.exe"
O4 - HKLM\..\Run: [RemoteControl9] "C:\Program Files\CyberLink\PowerDVD9\PDVD9Serv.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Corel Photo Downloader] "C:\Program Files\Common Files\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" -startup
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKCU\..\Run: [AVMUSBFernanschluss] C:\Users\Achim\AppData\Local\Apps\2.0\0XP46AMO.YK0\3HBHJ3GV.3Z8\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf169ed5c0c1\AVMAutoStart.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe" -s
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: Logitech . Produktregistrierung.lnk = C:\Program Files\Common Files\Logishrd\eReg\SetPoint\eReg.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Program Files\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

Edit: Ich habe zusätzlich -wie in einem anderen Thread empfohlen- Malewarebytes Anti-Malware durchlaufen lassen. Beim ersten Scan zeigte das Programm 16 infizierte Dateien an, beim zweiten Durchlauf waren es immer noch 4 Dateien. Jetzt -nach dem 3. Scan- zeigt es 0 infizierte Dateien. Sollte es das gewesen sein?

#2 Hier gibt es sowas von eine Anleitung
http://board.protecus.de/t23188.htm
__________
MfG Argus

#3 Na vielen Dank auch. Nach der Anleitung habe ich mir beim Ausführen von diesem Gmer das System sowas von zerschossen. Da lass ich es doch lieber so, wie es jetzt ist. Mag nicht das Gelbe vom Ei sein, aber immer noch besser, als dauernde Bluescreens.

#4 Naja wer unbedingt Trojaner auf dem pc haben möchte... zeig mal bitte das Malwarebytes-log.

#5 Ich hoffe ja nicht, dass da noch Trojaner usw. drauf sind. Leider kann ich kein Logfile posten, da ich nach erfolgter Reinigung alles deinstalliert habe. Ich weiß aber noch, dass im letzten File stand, dass alles ok wäre. Sorry, war vllt. dumm, aber Demos deinstalliere ich immer sofort nach Gebrauch.

#6 1. was für popups sind es?
2. hast du noch die adresse, wo du gedownloadet hast? Wenn ja posten, bitte unklickbar also
hxxp//undsoweiter

#7 Das sind reine Werbe-Popups, wie man sie auch von div. Seiten kennt. Es öffnen sich z.B. Popups von Quelle, Layer-Ads usw.
Die Adresse, wo ich das Solitair runtergeladen habe, war hxxp://www.onlinespiele-1.de

#8 Kannst du mal bitte navilog deinstalieren und neu Runterladeen? Diesmal ausfüren mit rechtsklick und als Administrator, automatisch wählen und das Log posten.

#9 Hab ich gemacht, hier das Logfile

Zitat

Fix Navipromo version 4.0.2 begonnen am 07.10.2009 0:25:11,11

!!! Achtung, dieser Abschnitt kann legitime Dateien und Programme auflisten!!!
!!! Posten sie diesen Bericht im Forum, um ihn auswerten zu lassen !!!

Programm ausgefuehrt in: C:\Program Files\navilog1

Zuletzt von IL-MAFIOSO aktualisiert am 27.08.2009 um 11h00

Microsoft Windows 7 Ultimate ( v6.1.7600 )
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz )
BIOS : BIOS Date: 03/25/09 09:46:13 Ver: 08.00.14
USER : Achim ( Administrator )
BOOT : Normal boot




A:\ (USB)
C:\ (Local Disk) - NTFS - Total:465 Go (Free:378 Go)
D:\ (Local Disk) - NTFS - Total:465 Go (Free:455 Go)
E:\ (CD or DVD)
F:\ (Local Disk) - NTFS - Total:232 Go (Free:186 Go)
G:\ (CD or DVD)


Suche Im normalen Modus ausgefuehrt


Kein Befall durch Navipromo/Egdaccess gefunden



*** Scan beendet 07.10.2009 0:26:22,96 ***

#10 Kannst du das alte Scanergebniss von mbam zeigen, sollte im programm zu finden sein.

#11

Zitat

Leider kann ich kein Logfile posten, da ich nach erfolgter Reinigung alles deinstalliert habe.

Ich wüßte nicht, wo die alten Logs noch zu finden wären. Lass gut sein, System wird am 22.10. eh neu aufgesetzt mit neuem OS. Bis dahin -hoffe ich- wird nicht mehr all zu viel passieren. Navilog zeigt ja an, dass soweit alles ok ist. Trotzdem danke für deine Bemühungen.

#12 aja hattest ja weiter oben geschrieben, sorry. Den kaspersky onlinescan würde ich noch versuchen, evtl. verrät der uns noch was

#13 Tag,Tasso kannst du das Kartenspiel nochmal runterladen und mit hilfe von http://rapidshare.com/index.html Uploaden
Und mir ueber PM den Downloadlink schicken
Habe keine lust mich da anzumelden
__________
MfG Argus