Hallo,
Ich hoffe ich bin mit meinem ersten Post hier im richtigen Forum gelandet. Meine Probleme stellen sich wie folgt dar:

- Obwohl ich nur Firefox benutze, habe ich bei jedem Start ein IE Popup (ad.firstadsolution.com). Meine Versuche dem ganzen mit AdAware, Spybot, CCleaner usw. beizukommen waren erfolglos. Danke Google weiss ich zwar das ich nicht der einzige mit diesem Problem bin, aber wirklich geholfen hat mir bisher nix.

- Die zweite Sache ist, das sich im Task Manager / Prozesse immer ein Eintrag 'iexplore.exe' findet obwohl (ich) den IE nicht gestartet habe. Beenden bringt nix, nach ein paar Sekunden und kurzzeitiger Systemauslastung von 100% ist der Prozess wieder da. Das eigentlich störende ist der Speicherverbrauch von bis zu 50MB.

Bei der Logfileauswertung auf der Website des Programms war nichts als 'böse' eingestuft.

So, hier nun das Logfile.

Danke schonmal,
Het



Logfile of HijackThis v1.99.1
Scan saved at 17:33:02, on 25.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\Explorer.EXE
H:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
H:\Programme\Microsoft IntelliType Pro\type32.exe
H:\Programme\Microsoft IntelliPoint\point32.exe
H:\Programme\ATI Technologies\ATI.ACE\cli.exe
I:\ZoneAlarm\zlclient.exe
H:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
H:\Programme\AntiVir PersonalEdition Classic\sched.exe
H:\Programme\AntiVir PersonalEdition Classic\avguard.exe
H:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
H:\WINDOWS\system32\svchost.exe
H:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
H:\WINDOWS\system32\ZoneLabs\vsmon.exe
H:\WINDOWS\System32\svchost.exe
H:\Programme\ATI Technologies\ATI.ACE\cli.exe
H:\Programme\ATI Technologies\ATI.ACE\cli.exe
H:\WINDOWS\system32\wuauclt.exe
h:\progra~1\intern~1\iexplore.exe
I:\WinAmp\winamp.exe
H:\Programme\Mozilla Firefox\firefox.exe
H:\Dokumente und Einstellungen\*****\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Acrobat Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {977FF8EC-23BC-72A5-2501-713EE7C24711} - (no file)
O4 - HKLM\..\Run: [avgnt] "H:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [type32] "H:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "H:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ATICCC] "H:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Zone Labs Client] i:\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [iso bat admin byte] H:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Find Start Iso Bat\MediaDrive.exe
O4 - Global Startup: Microsoft Office.lnk = H:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://I:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - I:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - I:\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138549246250
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF8D1922-7A82-4C36-9574-B093A45E0514}: NameServer = 194.25.2.129,194.25.2.130
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - H:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - H:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - H:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - H:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - H:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - I:\iPod\Installer 2006-06-28\iPod\bin\iPodService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - H:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - H:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hi het,

Zitat:

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

Das sieht mir wie dein Problem aus,
einmal fixen bitte.

Zitat:

O2 - BHO: (no name) - {977FF8EC-23BC-72A5-2501-713EE7C24711} - (no file)

Der Eintrag sieht mir nicht ganz koscha aus.
Ich würde den einfach mal fixen, denn überprüfen
kann man den wohl nicht.

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

Da du gesagt hast, du arbeitest nicht mit dem
Internet Explorer. Kannst du die ja auch gleich fixen.

Danach bitte den Prozess beenden, neustarten
und schauen, was passiert.

mfg Cleriker

Zitat:

Zitat von Cleriker

Hi het,


Das sieht mir wie dein Problem aus,
einmal fixen bitte.


Der Eintrag sieht mir nicht ganz koscha aus.
Ich würde den einfach mal fixen, denn überprüfen
kann man den wohl nicht.


Da du gesagt hast, du arbeitest nicht mit dem
Internet Explorer. Kannst du die ja auch gleich fixen.

Danach bitte den Prozess beenden, neustarten
und schauen, was passiert.

mfg Cleriker

Sorry, aber das hat rein garnichts mit seinem Problem zu tun!

@het,

arbeite diese Anleitung ab -> Entfernung Swizzor

der für dich geltende Eintrag ist folgender:

Zitat:

O4 - HKLM\..\Run: [iso bat admin byte] H:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Find Start Iso Bat\MediaDrive.exe

Poste nachdem du die Anleitung abgearbeitet hast ein neues Hijacklog.
(und berichte ob das Pop-Up Problem weiterhin besteht!)

Gruß
Sunny

Oh noo,

ein mächtiger Griff ins Klo von mir,
@Sunny:
aber sag mir bitte, wo du
die Info dafür her hast. Ich habe
diesen Eintrag auch durchgegoogelt,
aber nix Bösartiges gefunden.

Zitat:

Zitat von Cleriker

Oh noo,

ein mächtiger Griff ins Klo von mir,
@Sunny:
aber sag mir bitte, wo du
die Info dafür her hast. Ich habe
diesen Eintrag auch durchgegoogelt,
aber nix Bösartiges gefunden.

Beim Swizzor.A sehen die dafür verantwortlichen Dateien/Verzeichnisse so aus:
(in diesem Fall fehlt aber der 2.te "O2" Eintrag!)

Zitat:

H:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Find Start Iso Bat\MediaDrive.exe

Total verwirrende und hoch anspruchsvolle Bezeichnungen, sodass jeder denkt das es sich um eine Systemdatei handeln muss. (zumal das o.g. nicht wirklich "toll" ist! )

Gruß
Sunny

Hallo

Dake für die Tipps, heute abend schaffe ich es leider nicht mehr, aber morgen werde ich einen Bericht abliefern ob's geklappt hat.


vg
het

So, hier melde ich mich wieder.
Hat alles geklappt, das Popup ist weg, der speicherfressende Prozess auch.

Vielen Dank,
Het