hallo,
ich habe ein problem, seid kurzem öffnet sich öfter mal (ohne aufforderung) der internet explorer und zeigt mir da so ein tollen popup... sei es eine lustige fee, die mausbutton zu fußbällen o.ä. zaubert oder einfach nur ein schwarzes fenster wo irgend ein mist drin steht. Auf jeden fall wirft mich das immer wieder auf den desktop zurück, und das ist ziemlich nervig. kann mir da jemand helfen? oder weiss wer was das ist, wie mans wegkriegt oder sowas in der art???
ich habe es schon mit Ad aware, panda antivirus probiert, doch beides zeit mir nichts an. Hijackthis zeit mir 4 böse sachen an, aber ich dann die nicht finden bei mir, egal wie ich das suche. da stehen nämlich teilweise nur nummern und internetadressen, kanns daran liegen? falls ja wie geht das weg??

mfg vom klenen

poste mal ein HijackThis logfile
www.trojaner-board.de/showthread.php?t=17493

Logfile of HijackThis v1.99.1
Scan saved at 22:51:43, on 05.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\csrss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\TGTSoft\StyleXP\StyleXPService.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\System32\alg.exe
E:\WINDOWS\System32\dxdmain.exe
E:\WINDOWS\System32\nvsvc32.exe
D:\Panda\Firewall\PavFires.exe
E:\WINDOWS\Explorer.EXE
D:\Panda\pavsrv51.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\wdfmgr.exe
E:\Programme\HP\HP Software Update\HPWuSchd2.exe
E:\Programme\HP\hpcoretech\hpcmpmgr.exe
E:\WINDOWS\System32\phqgh.exe
E:\WINDOWS\etb\pokapoka62.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Programme\TGTSoft\StyleXP\StyleXP.exe
E:\WINDOWS\System32\RUNDLL32.EXE
E:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
E:\Programme\HP\hpcoretech\comp\hptskmgr.exe
D:\Panda\AVENGINE.EXE
D:\Trillian\trillian.exe
D:\WinAmp\Winamp.exe
D:\teamspeak2_RC2\TeamSpeak.exe
D:\NEUERO~1\FIREFOX.EXE
D:\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.accoona.com/search_assist...paign=wdz0605a
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.accoona.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.accoona.com/search_assist...paign=wdz0605a
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HP Software Update] "E:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "E:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [WEB DRIVERS FOR WIN32] phqgh.exe
O4 - HKLM\..\Run: [WinampAgent] D:\WinAmp\winampa.exe
O4 - HKLM\..\Run: [System service62] E:\WINDOWS\etb\pokapoka62.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\RunServices: [WEB DRIVERS FOR WIN32] phqgh.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WEB DRIVERS FOR WIN32] phqgh.exe
O4 - HKCU\..\Run: [STYLEXP] E:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: HP Digital Imaging Monitor.lnk = E:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = D:\WinZip\WZQKPICK.EXE
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
O16 - DPF: {7589EEE6-E336-11D4-8A7E-EE1D971D9B47} - http://secure.aconti.net/acontix/acontix.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{594F07BB-C28A-43C7-A214-E9A8FE894D56}: NameServer = 145.253.2.203,145.253.2.139
O23 - Service: Adobe LM Service - Unknown owner - E:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: DirectX Graphics (dxdmain) - Unknown owner - E:\WINDOWS\System32\dxdmain.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - D:\Panda\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - D:\Panda\pavsrv51.exe
O23 - Service: StyleXPService - Unknown owner - E:\Programme\TGTSoft\StyleXP\StyleXPService.exe



da ist der gute, ist das was du meinst?

Hallo,
sieht nicht gut aus für dein system, Grund dafür:

Zitat:

Platform: Windows XP (WinNT 5.01.2600)

also total unzureichendes Patchverhalten, SP2 sollte standart sein.
Beende mal folgende Prozesse im Taskmanager:
E:\WINDOWS\System32\dxdmain.exe
E:\WINDOWS\System32\phqgh.exe
E:\WINDOWS\etb\pokapoka62.exe
und überprüfe sie hier
und poste die Ergebnisse, aber so wie es aussieht wirst du um ein Neuaufsetzen nicht herum kommen.


Grüße Wildone

sieht nicht so gut aus pokapoka62.exe
denke das es sich um einen Backdoor handelt
kannst sie aber hier überprüfen lassen
http://virusscan.jotti.org/de/

Hallo elefant,

u.a. ist dieser in Deinem System aktiv:
http://www.sophos.com/virusinfo/anal...32codboto.html = dxdmain.exe

Leider ist das nicht der einzigste Trojaner mit Backdoorfunktionalität.

Grudn ist Dein nicht aktuelle Betriebssystem, SP 2 und alle weiteren Sicherheitsupdates müssen installiert sein!

Bei einem Trojaner mit Backdoorfunktionalität wird Dir dringend zur Neuinstallation geraten.

http://www.mathematik.uni-marburg.de...c-removal.html
http://www.mathematik.uni-marburg.de...ompromise.html
http://en.wikipedia.org/wiki/Botnet
http://de.wikipedia.org/wiki/Backdoor

Empfohlene Anleitung zur Neuinstallation

http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

dartus

Hallo heli2005,

"pokapoka62.exe" = EliteToolBar.

Schau mal den Ordner an.

dartus

@ dartus, den ordner kann ich mich irgendwie nicht angucken, da ich nicht weiss wo der ist, und den per "suchen" nicht finde :/

@heli, wildone, wie soll ich das denn auf der se ihr mir gegeben habt machen??
ich weiss nicht was ich da machen muss

@wildone, also hab die 3 sachen per taskmanager beendet, also pokapoka62.exe war da nicht aufgelistet, dxdomain, war danach weg und ist auch nach dem restart weggeblieben und phqgh musste ich nach dem restart wieder beenden.

vielen dank schonmal, aber wie geht das mti der page??

Hallo elefant,

mein Rat ist Dein System neu zu installieren, da Backdoor-Trojaner in Deinem System aktiv sind! Siehe mein 1. Posting hier in Deinem Thread.

dartus

Hallo,
alle genannten dateien sind auf deinem Rechner, sie waren ja, wie in deinem Log zu sehen, aktiv.
gehe mal im Explorer(nicht IE) auf Extra>>Ordneroptionen>>Ansicht dort den Haken bei "Geschützte Systemdateien ausblenden" rausnehmen und dann auf der genannten Seite hochladen.
Aber wie schon die anderen erwähnt haben du wirst um ein Neuaufsetzen wohl nicht herumkommen.


Grüße Wildone

oha, ok werd ich dann tun, wenn ihrs mir so dringend ratet, aber eien frage noch, kann ich eine weitere festplatte dazubekomme, daten auf die neue platte kopieren? oder übertrage ich dann auch automatisch diese ganzen backdoorpissflitschen? also kann ich noch sachen rüberziehen?? oder ratet ihr da zu nein? weil manche sachen sind sehr wichtig :/

Hallo,
meiner Meinung nach sollte man Dateien mit diesen Endungen nicht sichern, da sie ausführbar sind:
http://oschad.de/wiki/index.php/Dateiendungen


Grüße Wildone

schade, dabei hab ich immer die exen "gesammelt" von programmen die ich brauche.. also können die alle weg? was ist wenn diese exen noch gepackt sind?
geht das dann? (die restlichen daaten, die nicht diese endungen haben kann ich einfach kopieren, ohne das gefahr besteht?). und die wichtigste frage, wie kann ich meinen kleinen pc nach dem formatieren vor sowelchen sache schüzen? hatte bis jetzt einen router mit firewall, dazu dann noch panda, als firewall und antivir, dann spybot search & destroy, und adaware drauf. reicht das normalerweise? oder könnt ihr mir da nochn paar tipps geben?

Hallo,

Zitat:

wie kann ich meinen kleinen pc nach dem formatieren vor sowelchen sache schüzen?

Also wenn du dein System so aufsetzt wie in der Anleitung von dartus beschrieben ist das eigentlich schon die halbe Miete. Du setzt einfach die falschen Prioritäten, das wichtigste ist das die Sicherheitsrelevanten Programme auf deinem System aktuell sind (OS, Browser, Java etc) dann erst kommen solche Sachen wie Antivirenscanner und Spywareprogramme. Wie du dir dein System derartig verseucht hast obwohl du hinter einer Hardwarefirewall bist ist mir ehrlich gesagt schleierhaft. Normalerweise brauchst du überhauptkeine Desktopfirewall, erst recht nicht wenn du ein Hardwarefirewall mit NAT hast.
Also Anleitung befolgen und System aktuell halten.
[EDIT]

Zitat:

(die restlichen daaten, die nicht diese endungen haben kann ich einfach kopieren, ohne das gefahr besteht?)

Ja, von diesen Dateien geht keine Gefahr aus.

Zitat:

was ist wenn diese exen noch gepackt sind?

Da wirds grenzwertig, prinzipiell ist es natürlich besser solche Dateien auf CD zu sichern, aber jetzt ist das Kind schon im Brunnen. Hmm, wie dartus (der Link unter der Anleitung) schon gepostet hat kannst du mal die Programme jetzt auf CD sichern und danach mit Escan die CD nach Viren absuchen,wenn der nichts findet kannst du sie wieder einspielen, aber ein restrisiko bleibt.

[/EDIT]




Grüße Wildone

vielen dank, ich werd mich dran halten, danke fürs helfen und dan danke für den zeitaufwand