pop ups öffnen sich einfach so

Help

ich hab Probleme mit einem Art Trojaner (denke ich zumindestens). Ständig öffnen sich popups. Im Internet is leider nicht viel darüber zu finden. ich weiß nur das selbst wenn ich nicht den Browser (firefox) geöffnet habe die pop ups den broswer automastisch starten. Das nervt wirklich. Ich habe auch schon Java Script deaktiviert.Leider kommen die popups weiter.
Bitte Schnelle hilfe.

Jez scho mal danke

 

Hallo,

das ist ja nichts Neues bei dir, lese dir nochmal deinen Thread hier durch und poste endlich den LINK zu deiner HiJackThis-Auswertung:

http://www.pcwelt.de/forum/showthread.php?t=194485

 

naja, was heißt hier das ist ja nichts neues bei dir. Das ist schon wesentlich heftiger als alles was ich bisher hatte. Und zweitens weiß ich nicht mal was dieses hijack auswertungs ding ist. Ich hoffe es kann mir trotzdem jemand helfen.

 

Hallo,
schau dir diesen Beitrag an und poste den LINK zu deinem HijackThis Log.


Grüße Jasager

 

*zu langsam*

 

Recht herzlichen dank. Leider hat weiß ich nicht wie ich die probleme fixxen kann. Aber es gibt anscheinend einige prozesse die schädlich sind. Also bitte schnell antwortem. (Vielleicht weiß ja auch jemand wie ich das problem mit den Pop ups lösen kann)
So hier poste ich mal die logfile:

Logfile of HijackThis v1.99.1
Scan saved at **:**:**, on **.*..2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.**.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Programme\Tune Up Utilities\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Virenschutz\AVKService.exe
C:\Programme\Virenschutz\AVKWCtl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Virenschutz\AVKPOP.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\winupdates\winupdates.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Programme\Logitech MX510\MouseWare\system\em_exec.exe
C:\windows\mousepad4.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\svchost.exe
c:\windows\mousepad5.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\RWxpc2FiZXRo\command.exe
C:\Programme\Network Monitor\netmon.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Programme\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Dokumente und Einstellungen\All Users\Dokumente\*username*\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {6001CDF7-6F45-471b-A203-0225615E35A7} - C:\WINDOWS\DH.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Dokumente und Einstellungen\All Users\Dokumente\Dennis\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Virenschutz\AVKPOP.EXE"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [csr] csrrs.exe
O4 - HKLM\..\Run: [keyboard] c:\windows\keyboard5.exe
O4 - HKLM\..\Run: [mousepad] c:\windows\mousepad5.exe
O4 - HKLM\..\Run: [newname] c:\windows\newname5.exe
O4 - HKLM\..\RunServices: [csr] csrrs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: svchost.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Dokumente und Einstellungen\All Users\Dokumente\*username*\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: WhoisAssistant - {1153C29A-2A1C-12E3-A2A3-00D1A2F21300} - C:\Dokumente und Einstellungen\All Users\Dokumente\Programme\WhoisAssistant\WhoisAssistantDirect.exe (file missing)
O9 - Extra 'Tools' menuitem: &WhoisAssistant starten - {1153C29A-2A1C-12E3-A2A3-00D1A2F21300} - C:\Dokumente und Einstellungen\All Users\Dokumente\Programme\WhoisAssistant\WhoisAssistantDirect.exe (file missing)
O9 - Extra button: (no name) - {578FC4E3-151E-456c-AF8E-B63061EFE228}} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\All Users\Dokumente\*username*\Icq2\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\All Users\Dokumente\*username*\Icq2\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {543CDDE7-DF47-47DD-9339-0B023AC5DCA8} - http://www.medionshop.de (file missing) (HKCU)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {61658947-D44E-40F7-87EE-607CDBB800F7} - C:\Dokumente und Einstellungen\All Users\Dokumente\Programme\Xp-Antispy\Xpantispy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {61658947-D44E-40F7-87EE-607CDBB800F7} - C:\Dokumente und Einstellungen\All Users\Dokumente\Programme\Xp-Antispy\Xpantispy\sponsoring\sponsor.html (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123763861561
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Setup - C:\WINDOWS\system32\l8n4li5q18.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\Virenschutz\AVKService.exe
O23 - Service: G DATA Virenschutz Wächter (AVKWCtl) - Unknown owner - C:\Programme\Virenschutz\AVKWCtl.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RWxpc2FiZXRo\command.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Dokumente und Einstellungen\All Users\Dokumente\Programme\Tune Up Utilities\WinStylerThemeSvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

 

http://www.hijackthis.de/logfiles/1f54bf51ff1e48ccbca5f44829de3ca5.html

*No comment!*

 

GDATA Virenschutz ... da siehst du was der wert ist..
und was passiert wenn man kein SP2 installiert hat und keine aktuellen Sicherheits-Patches installiert.

Die Maschine ist völlig verseucht, ich denke nicht dass das Sinn macht da noch dran zu basteln.

 

Hallo,
man man man, wie kann man sein System nur so verkommen lassen. Das meiste ist zwar auf eine Infektion, die dann alles weitere nachgeladen hat, zurückzuführen, aber sonst sind da auch noch zumindest Reste von zwei/drei Backdoors. Achja und SP2 kam vor fast zwei Jahren raus...


Also nimm das Virenmutterschiff schnellstmöglich vom Netz und setze es gemäß dieser Anleitung neu auf. Weitere Lektüre.



Grüße Jasager

 

Tach,

Also ist es tatsächlich so schlimm. Naja ich hab halt gedacht das des Sp2 ned so toll sein soll. Naja so Spyware scheiß und so. Was soll ich den jez machen? Hilft es des SP2 jez no zu installieren? ich geb ja zu das des Gdata echt ein Scheiß is.

Ciao

 

Du solltest nicht nur Dein System, sondern vor allem auch Deine Sprache etwas pflegen! den angegebenen Links folgen und lesen kann auch nicht schaden ...

 

hallo ich hab auch probleme mit meinem pc, ich bekomm auch dauern pop up fenster, darauf hin hab ich dann hijackthis ausprobiert und den logfile kopiert...vielleicht kann mir ja jemand helfen.

hier ist der link:

http://www.hijackthis.de/index.php#anl

sorry ich kenn mich mit computern nicht so aus, wär schön wenn mir jemand helfen würde. danke im voraus

 

na dann speichere mal Deine Auswertung und poste den Link dazu!

 

hallo, ich hab das gleich problem wie nemox, könnte mir jemand helfen, das wäre super lieb . hab das auch mit hijackthis gemacht. hier ist meine logfile:

http://www.hijackthis.de/logfiles/b46abac42797781751fd38caae61d6ed.html

vielen dank im voraus

ps. hoffe dass alles richtig war was ich gemacht hab

viele grüße

 

wie sollte es auch anders sein? ich habe auch so ein Problem ! bitte helft mir ein neues aufsetzen des systems wäre für mich nicht die optimale lösung!

Problem: unerwünschte popups auch bei geschlossenem Explorer und Windowsupdates lassen sich nicht mehr installieren! ich benutze, bis jetzt zumindest iexplorer 6 und outlook aber werde mir die tipps hier zu herzen nehmen!

Also bitte Hilfe!

hier die hijackthis Logfile

http://www.hijackthis.de/logfiles/d05f78b6135d5841dc26ef518e56d880.html

 

Problem seit wann ? Was wurde gemacht ?
Welches Betriebssystem mit welchem Servicepack ?
Wie gehst du ins Internet ?
...

 

Und google führt einen dahin: http://www.trojaner-board.de/archive/index.php/t-21217.html

 

Hallo,
mit welchem Suchbegriff bist du denn da gestrandet?
Ein besserer Hit wäre z.B. hier gewesen. Versuche es erst mit dem Look2me Remover, wenn das nicht funktioniert mit dem Look2me Destroyer, dann postest du ein neues HijackThis Log.


Grüße Jasager

 

Falls Du mich meinst, ich habe mich auf den aktuellen Beitrag von rhschaal bezogen und da den als "böse" gekennzeichneten Eintrag mit dem Dialer als Suchbegriff genommen.

 

Hallo,
ja, auf den beziehe ich mich auch. DEr Dialer ist zwar auch unschön, aber das eigentliche Problem ist look2me (zu erkennen an dem Zufallseintrag in der Winlogon O20).
Den Dialer kann man einfach fixen (Haken davor und auf "fix xhecked).

Der Eintrag hier:
O4 - HKCU\..\Run: [Aoat] "C:\DOKUME~1\ADMINI~1\EIGENE~1\YMANTE~1\spoolsv.exe" -vt yazr

ist auf jeden Fall auch von Malware angelegt worden, könnte Purityscan sein, was ich aber nicht hoffe, da ich den nicht zuverläßig finden kann.


Grüße Jasager