Hi,

ich bekomme alle ~30 bis ~200 minuten ein popup fenster (inet explorer, normalweise use ich maxthon). Diese fenster sind meist irgendwelche werbung oder gewinnspiele. Die letzte software die ich installierte war MSN MEssenger plus.

Ich habe bereits die neusten versionen von AntiVir, AdAware und Spybot - Search & Destroy drüberlaufen lassen. Alles bösartige wurde damit entfernt, jedoch kommen die pop up fenster immer noch.

Hier mein hijack log:

Logfile of HijackThis v1.99.1
Scan saved at 20:44:12, on 09.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\mIRC\mirc.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Maxthon\Maxthon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.nzzopfmlztzkhggtsllqlyt.uk/h/MnYjPVsQAhyS0XEtP0Buby5xbv2r0uZO6ir6j918GTyI/ZEUXxi64Yr3oA76mA.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.qnvhclhjhbwkrnmidacgkne.org/tpbeufBfkd71ZG1nbj6pc_4FvkXKAmpph4i_1yL0cL4.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7566A779-629F-F2AD-016A-704F0982561C} - C:\DOKUME~1\Rufio123\ANWEND~1\TITLEP~1\REF HTM.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Bias once anti bore] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\one drive bias once\DVD DUMB.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115328091875
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4526505-B6CA-403D-A6EF-B058AB84E257}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE

wenn der rechner ne nacht über läuft sind am morgen ca ~10 pop ups da

wie bekomm ich die pop ups weg?


thx schon mal =)

Hallo,

deinstalliere, falls noch möglich, die Sponsor-Programme des Messenger Plus (müsste mit dem Setup-Programm funktionieren).

Aktualisiere Spybot S&D und Ad-Aware.

Starte den PC im abgesicherten Modus.

Fixe mit HijackThis:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.nzzopfmlztzkhggtsllqlyt....4Yr3oA76mA.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.qnvhclhjhbwkrnmidacgkne....4i_1yL0cL4.html

O2 - BHO: (no name) - {7566A779-629F-F2AD-016A-704F0982561C} - C:\DOKUME~1\Rufio123\ANWEND~1\TITLEP~1\REF HTM.exe

O4 - HKLM\..\Run: [Bias once anti bore] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\one drive bias once\DVD DUMB.exe <--außer dir bekannt!

Lösche manuell:

• Win-Taste + R -> "temp" (ohne "")- > Enter-> alle Dateien
• Win-Taste + R -> "%temp%" (ohne "")- > Enter-> alle Dateien
• Im IE-> Extras-> Internetoptionen-> Allgemein-> Verlauf leeren + Cookies löschen + Dateien löschen (auch Offlineinhalte)
• C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\one drive bias once\DVD DUMB.exe
• C:\DOKUME~1\Rufio123\ANWEND~1\TITLEP~1\REF HTM.exe

Scanne mit den beiden Programmen und lass' die Probleme beheben.

Neustart.

Windows updaten! (falls nötig)

Alternativen Browser wählen.

Neues Log posten. Problem gelöst?

thx für die antwort, werd gleich alles machen. Nur was meinst du mit SponsorProgramme vom msn plus? hab die ganze werbung vom normalen msn schon abgeschaltet, vom plus sind mir keine "sponsorprogramme" bekannt. kannst du diese noch mal genauer definieren und sagen wo man sie deinstalliert?

Der Messenger Plus finanziert sich durch Zusatzprogramme (Ad- u. Spyware; was genau weiß ich nicht). Das steht z.B. hier. Bei der Installation wirst du gefragt, ob du diese auch installieren willst. Normalerweise müsste, wenn du das Setup nochmal ausführst, die Frage kommen, was du (de)installieren willst. Da du aber schon mit Spybot S&D und Ad-Aware gescannt hast, kann es sein, dass das nicht mehr der Fall ist.

hmm kann mich ansowas nicht mehr errinnern

hab mal die setup datei noch mal neu gestartet mit nem anderen ordner und mein antivir hat gemeldet:


C:\DOKUME~1\Rufio123\LOKALE~1\TEMP\BISE.EXE

Ist das Trojanische Pferd TR/Dldr.Swizzor.CO


ist dieses plus zeugs schuld an meinen problemen?


hab btw noch nicht die sachen etc gelöscht werd ich gleich machen.
am besten ich lösche diese bise.exe dann glecih mit oder?

Kann sein, man sollte sich eben über die Software, die man installiert, informieren.
Die Datei wird gelöscht, wenn du die Temp-Files löschst. Solltest du gleich machen, nicht dass es sich vermehrt.

so problem behoben, thx für die hilfe

Wie hast Du schlussendlich das Problem gelöst?

Ich hab nun das geliche Malheur...

lg
Moli

mOIn auch

wenn du dir sicher bist das selbe problem zu haben benutze die Bordsuche Stichwort - Swizzor - oder schau in die FAQs, bist du nicht ganz sicher, eröffne einen eigenen Beitrag beschreibe dein Problem genau und poste gleich ein HijackThis log dazu.

MFG