hi leute,

ich habe seit gestern abend probleme mit deiversen pop ups die auftreten wenn ich surfe.

ich weiß nicht ob es etwas mit anti-leech zu tun hat aber seit dem ich das installiert hab, kommen regelmäßig pop-ups.

hier mal ein log von Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 15:42:59, on 27.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\NetPumper\NetPumperIEProxy.exe
C:\WINDOWS\system32\ctfmon.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\CTSvcCDA.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\WINDOWS\explorer.exe
C:\Programme\Azureus\Azureus.exe
C:\Programme\Winamp\Winamp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Dokumente und Einstellungen\Napf²\Desktop\Downloads\anti-spyware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
O2 - BHO: (no name) - {56B2490E-4BD9-9389-0310-6F17BCB1CFED} - C:\DOKUME~1\NAPF~1\ANWEND~1\SEEKSO~1\debug delete.exe
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunOnce: [AAW] "C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe" "+b1"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Blahreal] C:\DOKUME~1\NAPF~1\ANWEND~1\16LOGO~1\BINDEXTRACAST.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O17 - HKLM\System\CCS\Services\Tcpip\..\{0BC86F34-1689-4CAC-ACCB-599DA30094D0}: NameServer = 62.72.64.237 62.72.64.241
O17 - HKLM\System\CS1\Services\Tcpip\..\{0BC86F34-1689-4CAC-ACCB-599DA30094D0}: NameServer = 62.72.64.237 62.72.64.241
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

Sieht sauber aus. Aber was ist hier mit?

O2 - BHO: (no name) - {56B2490E-4BD9-9389-0310-6F17BCB1CFED} - C:\DOKUME~1\NAPF~1\ANWEND~1\SEEKSO~1\debug delete.exe

Und da ist noch was, was schonmal früher hier im Forum besprochen wurde..
Ich schreibe das nur hin, weil es eigendlich im falschen Pfad liegt:

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

ok hab das erste mal gelöscht...hab immernoch pop ups

aber was meinst du mit falschem pfad beim 2.?

@Napf²,

lies dir mal bitte folgende Anleitung durch:

Anleitung Swizzor.A

in deinem Fall relevante Einträge sind folgende:

Zitat:

O2 - BHO: (no name) - {56B2490E-4BD9-9389-0310-6F17BCB1CFED} - C:\DOKUME~1\NAPF~1\ANWEND~1\SEEKSO~1\debug delete.exe

O4 - HKCU\..\Run: [Blahreal] C:\DOKUME~1\NAPF~1\ANWEND~1\16LOGO~1\BINDEXTRACAST .exe

Poste anschliessend ein neues Hijacklog..

Gruß
Daniel

ok hab mir die anleitung durchgelesen und da hieß es das netpumper so ein pop up progg ist, das hatte ich drauf und jetzt gelöscht. anssonsten werd ich jetzt mal neustart machen und hier das log:

Logfile of HijackThis v1.99.1
Scan saved at 16:35:00, on 27.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\CTSvcCDA.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\WINDOWS\explorer.exe
C:\Programme\Azureus\Azureus.exe
C:\Programme\Winamp\Winamp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Xfire\Xfire.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\Napf²\Desktop\Downloads\anti-spyware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunOnce: [AAW] "C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe" "+b1"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O17 - HKLM\System\CCS\Services\Tcpip\..\{0BC86F34-1689-4CAC-ACCB-599DA30094D0}: NameServer = 62.72.64.237 62.72.64.241
O17 - HKLM\System\CS1\Services\Tcpip\..\{0BC86F34-1689-4CAC-ACCB-599DA30094D0}: NameServer = 62.72.64.237 62.72.64.241
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

@Napf²,

dein Log sieht doch schon ganz gut aus.

1.) schalte die Systemwiederherstellung aus.

2.) Lade dir jetzt nochmal folgendes Tool ->SmitfraudFix, starte danach in den abgesicherten Modus, und führe es dann aus!
Poste anschliessend den Report von SmitfraudFix..

Gruß
Daniel

weiß nicht ob das nötig ist, bin jetzt seit 10min am surfen und noch kein pop up, so wie es aussieht ists wieder weg

danke^^

Wem nicht zu raten ist,dem ist halt nicht zu helfen.....
Irrlicht

Zitat:

Zitat von Napf²

weiß nicht ob das nötig ist, bin jetzt seit 10min am surfen und noch kein pop up, so wie es aussieht ists wieder weg

Führe trotzdem noch die Punkte durch, ich habe da noch einen Verdacht

Diese 10 Minuten hast du ja nun auch noch Zeit, oder???

Gruß

EDIT: Moin Irrlicht...Full ACK!!!

Hi Sunny,

habe mit interesse diesen Beitrag gelesen und SmitFraudFix v2.76 bei mir mit folgendem Ergebniss laufen lassen.

----------- Snipp -------------
SmitFraudFix v2.76

Scan done at 18:00:19,19, Do 27.07.2006
Run from C:\Dokumente und Einstellungen\Joachim\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Joachim\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\JOACHIM\FAVORI~1
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="http://www.jmc-nord.de/jmc_counter.php"
"SubscribedURL"="http://www.jmc-nord.de/jmc_counter.php"
"FriendlyName"=""
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\2]
"Source"="http://sandra/faxeingang.php"
"SubscribedURL"="http://sandra/faxeingang.php"
"FriendlyName"="Faxeingang"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End

----------- Snapp -------------

Heißt das, dass meine wininet befallen ist?

Vielen Dank im voraus.

Jo

Ja. Ich muss noch was schreiben.. weil das Forum nur Beiträge über 10 Buchstaben zulässt...

hier mal ein log von smartfix...ist da noch was faul?


SmitFraudFix v2.76

Scan done at 19:17:21,85, 27.07.2006
Run from C:\Dokumente und

Einstellungen\Napfý\Desktop\Downloads\anti-spyware\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Napfý\Application

Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\NAPF~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Zitat:

Zitat von Napf²

hier mal ein log von smartfix...ist da noch was faul?

Sieht gut aus dein Log...treten denn jetzt noch Probleme auf?

Gruß

ja wieder -.- , aber eine zeit lang gieng es...

Also nochmal von vorne!!!

Was mir aufgefallen ist (daher auch das Tool Smitfraud!), ist dieser Eintrag:

Zitat:

c:\progra~1\intern~1\iexplore.exe

Dann geh mal Schritt für Schritt die Punkte durch:

1.) Führe einen eScan durch. (Anleitung in Signatur verlinkt!)
Beachte den part zum Thema "find.bat"

2.) Scanne dein System mit F-Secure Blacklight, poste anschliessend den Report

Gruß
Daniel