Hallo,

hab dass Problem, dass nach einiger Zeit sich immer ein Popup-Window öffnet. Manchmal erscheint auch unten ind der Leiste ein gelbes Warndreieck. Hatte in den letzten Tagen auch Probleme mit searchmaid.com (als Startseite und Toolbar); konnte das aber fixen.

HiJackThis-file:

Logfile of HijackThis v1.98.2
Scan saved at 11:59:23, on 05.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\helper.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\Ittermann\Desktop\Virenkiller\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [WormsWorldParty.exe] D:\WORMSW~1.EXE /r
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .avi: C:\PROGRA~1\Netscape\COMMUN~1\Program\PLUGINS\npavi32.dll

was ist das für ein programm??
O4 - HKCU\..\Run: [WormsWorldParty.exe] D:\WORMSW~1.EXE /r

das prüfen eventuell, bin mir unsicher:
O4 - HKCU\..\Run: [internat.exe] internat.exe

C:\WINNT\system32\helper.exe
hier hochladen bei unsicherheit und checken lassen:
http://www.virustotal.com/flash/index_en.html

nach einem ergebnis schauen wir weiter.

Zitat:

Zitat von rock

was ist das für ein programm??
O4 - HKCU\..\Run: [WormsWorldParty.exe] D:\WORMSW~1.EXE /r

War ich mir auch net sicher

Zitat:

das prüfen eventuell, bin mir unsicher:
O4 - HKCU\..\Run: [internat.exe] internat.exe

Das hier, kann evtl. die Srrachunterstützung sein, wenn diese im system32 Folder von Windoof ist

Zitat:

C:\WINNT\system32\helper.exe
hier hochladen bei unsicherheit und checken lassen:
http://www.virustotal.com/flash/index_en.html

da er iPod hat ist dies Vermutlich nur das dazugehörige Tool

Gruß
Andy

Bis jetzt schon mal vielen Dank; hoffe, dass jetzt alles clean ist. Falls nochmal was ist mit Popups, muss ich hier nochmal posten; wenn nicht vielen Dank an alle!!!!!!

Ist das hier vielleicht was (konnte Escan nicht öffnen):

Scanning File C:\DOKUME~1\ITTERM~1\LOKALE~1\Temp\pbbo.exe

Result: ERROR!!! File C:\DOKUME~1\ITTERM~1\LOKALE~1\Temp\pbbo.exe is Not Scanned

C:\DOKUME~1\ITTERM~1\LOKALE~1\Temp\pbbo.exe not Scanned. Possibly password protected..

Ansonsten wie gesagt nur das hier:

Scanning File C:\WINNT\system32\JAVASUP.VXD
=> Offending value found in HKCU\Software\VB and VBA Program Settings !!!
=> System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken.
=> File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.

die kannst du löschen und zwar so:

Windowstaste+R --> %temp% --> enter
inhalt löschen
Windowstaste+R --> temp --> enter
inhalt löschen

Zitat:

Zitat von rock

C:\WINNT\system32\helper.exe
hier hochladen bei unsicherheit und checken lassen:
http://www.virustotal.com/flash/index_en.html

nach einem ergebnis schauen wir weiter.

Antivirus Version Update Result
AntiVir 6.30.0.7 04.05.2005 no virus found
AVG 718 04.05.2005 no virus found
BitDefender 7.0 04.05.2005 no virus found
ClamAV devel-20050307 04.05.2005 Trojan.Clicker.Agent-16
DrWeb 4.32b 04.05.2005 Trojan.Click.301
eTrust-Iris 7.1.194.0 04.05.2005 no virus found
eTrust-Vet 11.7.0.0 04.05.2005 no virus found
Fortinet 2.51 04.05.2005 no virus found
F-Prot 3.16a 04.05.2005 no virus found
Ikarus 2.32 04.05.2005 suspicious program sequence found
Kaspersky 4.0.2.24 04.05.2005 Trojan-Clicker.Win32.Agent.cx
McAfee 4460 04.01.2005 no virus found
NOD32v2 1.1046 04.05.2005 no virus found
Norman 5.70.10 03.31.2005 no virus found
Panda 8.02.00 04.04.2005 no virus found
Sybari 7.5.1314 04.05.2005 Trojan-Clicker.Win32.Agent.cx
Symantec 8.0 04.05.2005 no virus found

Wie soll ich die Datei am Besten killen???

gute frage...wie cih sehe erkennt clam av das ding.

clam av ist kostenlos.

runterladen, im abgesicherten modus starten/scannen.

viel erfolg!

anbei könntest du die infizierte datei an antivir einsenden:
Neue Viren und verdächtige Dateien

Viren, die ggf. von der AntiVir Personal Edition noch nicht erkannt bzw. entfernt werden können oder verdächtige Dateien senden Sie bitte gepackt (WinZIP, PKZip, Arj etc.) im Anhang einer Email an virus@free-av.de. Da einige Email-Gateways über Antivirensoftware verfügen, sollten Sie die Datei(en) zusätzlich mit einem Passwort versehen, damit diese nicht ohne weiteres ausgepackt werden können. Vergessen Sie aber nicht, uns das Passwort in Ihrer Email mitzuteilen
_________________

Die Popups kommen immer noch; so in 20 Minuten-Abständen. Ist zwar jetzt nicht besonders schlimm, nervt aber schon immer noch irgendwas draufzuhaben. Hab jetzt noch mal mit dem neuesten HiJack This ein Log gemacht:

Logfile of HijackThis v1.99.1
Scan saved at 15:16:07, on 05.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\Ittermann\Desktop\Virenkiller\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .avi: C:\PROGRA~1\Netscape\COMMUN~1\Program\PLUGINS\npavi32.dll
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

Das Fenster geht auf egal ob ich online bin oder nicht; nur das wenn offline natürlich keine Seite erscheint.

und wenn du dir einen popupstopper nimmst...google toolbar oder irgendeinen...alle haben popupblocker dabei...

1 kannst du dennoch machen:
schliese den browser, lösche temporäre internetfiles incl.offlineinhalte!

leere den inhalt des ordners TEMP. (dann den papierkorb)

somit sollte jeglicher temporäre unrat entfernt sein.

Schickst Du mir mal bitte die

C:\WINNT\system32\internat.exe
und
C:\Programme\Winamp\winampa.exe

als gezippte oder gerarte Datei mit PW an guide-alby(at)gmx.de ?????

Ich schaue mir da mal was an,

Gruß
Andy

Hab ich gemacht.

Wenn ich mir die Favoriten von den Ordnern anschaue steht da sohn Schrott von wegen Adult,Cars und ähnliches. Wie lösche ich den Schrott???

@Till :

In diesem Falle, gehst Du in den Abgesicherten Modus (F8 beim Booten drücken, bis du den abgesicherten Auswählen kannst)

Dann gehst Du in das Verzeichnis und löscht die Datei einfach, das sollte das Problem beheben (beim Löschen Shift gedrückt halten,d amit die datei gar nicht erst in den Papierkorb landet, sondern direkt gekillt wird)

Gruß
Andy

wen du es so kannst, wär es auch okey!

notfalls:
http://www.snapfiles.com/get/clamav.html

Hallo bin neu hier
Kann mir einer sagen was "bellsystem.exe" ist?