Ständig Popups über inet explorer

E!Ker · 16.12.2006, 15:48

hi also ich habe mir eine anti-leech version runtergeladen(nicht netpumper) und seitdem bekomme ich ständig popups. außerdem ist die inetexplorer.exe 2 mal unter prozesse am laufen und ich kann es nicht deaktivieren. wär toll, wenn jemand eine lösung für mich hat

Hier mein HijackThis log

Logfile of HijackThis v1.99.1
Scan saved at 15:28:38, on 16.12.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Computerzubehör\Maus\Razer\Razer\razerhid.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\Allgemein\MySQL\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Allgemein\Brennprogramme\Alcohol 120%\StarWind\StarWindService.exe
C:\WINDOWS\System32\UAService7.exe
C:\Computerzubehör\Maus\Razer\Razer\razertra.exe
C:\Computerzubehör\Maus\Razer\Razer\razerofa.exe
C:\Internet\Trillian\trillian.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Internet\Mozilla Firefox\firefox.exe
C:\Internet\Voice Tools\TeamSpeak 2\Teamspeak2_RC2\TeamSpeak.exe
C:\Internet\Xfire\Xfire.exe
C:\Spiele\Valve\Steam\Steam.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Allgemein\Security\HijackThis_199\HijackThis3874.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=runonce&pver=6.0&plcid=0x0407
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Allgemein\Adobe Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Internet\Downloadmanager\Free Download Manager\iefdmcks.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Internet\DOWNLO~1\FlashFxp\IEFlash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [razer] C:\Computerzubehör\Maus\Razer\razerhid.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [ACTIVESKIP] C:\DOKUME~1\XXXX\ANWEND~1\MAILSI~1\Move chin.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Verknüpfung mit razerhid.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Internet\Downloadmanager\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Internet\Downloadmanager\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Internet\Downloadmanager\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Spiele\Poker\Partypoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Spiele\Poker\Partypoker\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Internet\ICQ 5.1\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Internet\ICQ 5.1\ICQLite\ICQLite.exe
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://www.giga.de/giga-stream-test/Rawflow.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MySQL - Unknown owner - C:\Allgemein\MySQL\bin\mysqld-nt".exe (file missing)
O23 - Service: NVIDIA Display Driver Service (Omega 1.6693) (P) (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Computerzubehör\Benchmark\SiSoft\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Computerzubehör\Benchmark\SiSoft\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Allgemein\Brennprogramme\Alcohol 120%\StarWind\StarWindService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

hier ein scan mit combofix

ComboFix 06.11.27W - Running from: "C:\Allgemein\Virenvernichtung"

((((((((((((((((((((((((((((((( Files Created from 2006-11-08 to 2006-12-08 ))))))))))))))))))))))))))))))))))

2006-12-08 12:49 <DIR> d-------- C:\Programme\GoldEsel
2006-12-08 12:49 <DIR> d-------- C:\Programme\Ahead
2006-12-02 21:58 <DIR> d-------- C:\Programme\Electronic Arts
2006-12-02 12:07 <DIR> d-------- C:\Programme\Mail sign dash
2006-12-02 12:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MathStartCornMulti
2006-12-02 12:01 <DIR> d-------- C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Mail sign dash
2006-11-17 21:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2006-12-08 17:00 -------- d-------- C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Xfire
2006-12-08 16:12 148 --a------ C:\WINDOWS\system32\options.dll
2006-12-05 20:49 -------- d-------- C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Adobe
2006-12-05 20:43 -------- d-------- C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\teamspeak2
2006-12-05 04:32 -------- d-------- C:\Programme\Internet Explorer
2006-12-03 17:27 17928 --a------ C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-12-02 22:01 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-11-26 13:11 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2006-11-06 20:40 -------- d-------- C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Free Download Manager
2006-11-01 21:28 -------- d-------- C:\Programme\Java
2006-11-01 21:22 166036 --a------ C:\WINDOWS\system32\ielog.dll
2006-10-22 11:35 223128 --a------ C:\WINDOWS\system32\drivers\vaxscsi.sys
2006-10-22 11:32 611064 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2006-10-18 10:09 -------- d---s---- C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Microsoft

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Steam"=""
"ACTIVESKIP"="C:\\DOKUME~1\\XXXX\\ANWEND~1\\MAILSI~1\\Move chin.exe"
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_09\\bin\\jusched.exe\""
"razer"="C:\\Computerzubehör\\Maus\\Razer\\razerhid.exe"
"SoundMan"="SOUNDMAN.EXE"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"Service Process"="C:\\WINDOWS\\system32\\config\\service.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"Zone Labs Client"="C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,80,00,00,00,00,00,00,00,80,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,80,00,00,00,00,00,00,00,80,03,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\ALLGEM~1\\ADOBEA~1\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^MetaCafe.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\MetaCafe.lnk"
"backup"="C:\\WINDOWS\\pss\\MetaCafe.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\ALLGEM~1\\Metacafe\\METACA~1.EXE /startup"
"item"="MetaCafe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^XXXX^Startmenü^Programme^Autostart^MetaCafe.lnk]
"path"="C:\\Dokumente und Einstellungen\\XXXX\\Startmenü\\Programme\\Autostart\\MetaCafe.lnk"
"backup"="C:\\WINDOWS\\pss\\MetaCafe.lnkStartup"
"location"="Startup"
"command"="C:\\ALLGEM~1\\Metacafe\\METACA~1.EXE /startup"
"item"="MetaCafe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EA Core]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Core"
"hkey"="HKCU"
"command"="C:\\Programme\\Electronic Arts\\EA Link\\Core.exe -silent"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="C:\\Internet\\ICQ 5\\ICQLite\\ICQLite.exe -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msnmsgr"
"hkey"="HKCU"
"command"="\"C:\\Internet\\MSN\\MSN Messenger\\msnmsgr.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\T-Online_Software_5]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\T-Online_Software_5\WLAN-Access Finder]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ToWLaAcF"
"hkey"="HKCU"
"command"="C:\\Programme\\T-Online\\WLAN-Access Finder\\ToWLaAcF.exe /StartMinimized"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

backup-20051219-221134-645
O4 - HKLM\..\Run: [Service Process] C:\WINDOWS\system32\config\service.exe

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\A6B05AEE91C7D302.job
C:\WINDOWS\tasks\rasphone.job

Completion time: 06-12-08 17:09:10.24
C:\ComboFix.txt ... 06-12-08 17:09

Und weitere Logs

Echo.bat

10)DPF????
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A0DE-E54F

Verzeichnis von C:\WINDOWS\Downloaded Program Files

25.07.2002 17:13 24.576 dwusplay.dll
25.07.2002 17:13 196.608 dwusplay.exe
11.08.2005 15:30 417.792 isusweb.dll
09.10.2003 10:32 144 QTPlugin.inf
21.07.2006 14:05 1.652.512 Rawflow.ocx
22.06.2006 10:41 5.032 swflash.inf
11.08.2004 01:22 3.024 wma9dmo.inf
11.08.2004 01:22 3.036 wmv9dmo.inf
30.06.2003 21:41 1.689 WMV9VCM.inf
9 Datei(en) 2.304.413 Bytes

Anzahl der angezeigten Dateien:
9 Datei(en) 2.304.413 Bytes
0 Verzeichnis(se), 14.010.380.288 Bytes frei
10)DPF????
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A0DE-E54F

Verzeichnis von C:\WINDOWS\Downloaded Program Files

25.07.2002 17:13 24.576 dwusplay.dll
25.07.2002 17:13 196.608 dwusplay.exe
11.08.2005 15:30 417.792 isusweb.dll
09.10.2003 10:32 144 QTPlugin.inf
21.07.2006 14:05 1.652.512 Rawflow.ocx
22.06.2006 10:41 5.032 swflash.inf
11.08.2004 01:22 3.024 wma9dmo.inf
11.08.2004 01:22 3.036 wmv9dmo.inf
30.06.2003 21:41 1.689 WMV9VCM.inf
9 Datei(en) 2.304.413 Bytes

Anzahl der angezeigten Dateien:
9 Datei(en) 2.304.413 Bytes
0 Verzeichnis(se), 14.002.225.152 Bytes frei

DatFind.bat
Down

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A0DE-E54F

Verzeichnis von C:\WINDOWS\Downloaded Program Files

21.07.2006 14:05 1.652.512 Rawflow.ocx
22.06.2006 10:41 5.032 swflash.inf
11.08.2005 15:30 417.792 isusweb.dll
12.05.2005 19:58 65 desktop.ini
11.08.2004 01:22 3.024 wma9dmo.inf
11.08.2004 01:22 3.036 wmv9dmo.inf
09.10.2003 10:32 144 QTPlugin.inf
30.06.2003 21:41 1.689 WMV9VCM.inf
25.07.2002 17:13 24.576 dwusplay.dll
25.07.2002 17:13 196.608 dwusplay.exe
10 Datei(en) 2.304.478 Bytes
0 Verzeichnis(se), 14.002.995.200 Bytes frei

sys

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A0DE-E54F

Verzeichnis von C:\

10.12.2006 15:27 0 sys.txt
10.12.2006 15:27 740 down.txt
10.12.2006 15:27 432 tmp.txt
10.12.2006 15:27 1.006 system.txt
10.12.2006 15:27 292 systemtemp.txt
10.12.2006 15:27 775 system32.txt
10.12.2006 15:20 793 DirDPF.txt
10.12.2006 15:19 2 DirDPFCns.txt
10.12.2006 05:24 1.610.072.064 pagefile.sys
08.12.2006 17:09 10.468 ComboFix.txt
03.12.2006 08:18 194 boot.ini
26.11.2006 21:03 209.443 ads_err.dbf
23.11.2006 13:00 2.081.746 Dienstag_21.November2006_-.-_Die_Wahrheit.rar

system

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A0DE-E54F

Verzeichnis von C:\WINDOWS

10.12.2006 05:24 2.048 bootstat.dat
09.12.2006 22:49 2.086.649 WindowsUpdate.log
09.12.2006 22:49 32.510 SchedLgU.Txt
08.12.2006 19:08 2.493.714 setupapi.log
08.12.2006 14:01 116 NeroDigital.ini
05.12.2006 23:10 506 wiadebug.log
05.12.2006 20:47 50 wiaservc.log
03.12.2006 08:18 890 win.ini
03.12.2006 05:42 1.104.473 DirectX.log
02.12.2006 21:47 825 DXError.log
07.11.2006 13:57 512 ODBC.INI
06.11.2006 22:55 85.861 wmsetup.log
03.11.2006 13:28 19 wininit.ini
01.11.2006 18:37 4.214 mozver.dat
24.10.2006 15:40 170.932 setupact.log
09.09.2006 23:08 652 avmadd32.log
09.09.2006 23:08 2.166 avmsetup.log
09.09.2006 23:08 0 accessdll.log
02.06.2006 20:03 22.746 Omega Drivers Log.txt
13.04.2006 20:07 249.856 Setup1.exe
13.04.2006 20:07 73.216 ST6UNST.EXE
13.04.2006 13:58 120.372 ntbtlog.txt
05.04.2006 16:51 99.970 UninstallFirefox.exe
25.03.2006 22:34 5.770 COM+.log
25.03.2006 21:43 98.049 iis6.log
25.03.2006 21:43 21.748 comsetup.log
25.03.2006 21:43 12.324 ntdtcsetup.log
25.03.2006 21:43 4.566 imsins.log
25.03.2006 21:43 21.112 tsoc.log
25.03.2006 21:43 28.114 ocgen.log
25.03.2006 21:43 1.954 msgsocm.log
25.03.2006 21:43 2.032 ocmsn.log
25.03.2006 21:43 28.739 FaxSetup.log
25.03.2006 21:43 21.008 msmqinst.log
27.02.2006 16:28 26 neosetup.INI
17.02.2006 23:51 376 wmsetup10.log
29.01.2006 06:21 262 game.ini
26.01.2006 18:20 316.640 WMSysPr9.prx
26.01.2006 18:18 192 winamp.ini
29.12.2005 12:45 3.707 dahotfix.log
29.12.2005 12:45 19.357 dasetup.log
03.12.2005 10:51 0 0.log
01.12.2005 15:41 60.416 ALCFDRTM.VER
09.11.2005 22:11 1.374 imsins.BAK
09.11.2005 22:11 3.210 Q828026.log
07.11.2005 16:56 122.535 RSEDNClientUninstaller.exe
26.10.2005 17:23 737.280 iun6002.exe
11.10.2005 11:21 250 system.ini
11.10.2005 11:14 375 nsw.log
10.10.2005 22:32 13.890 Windows Update.log
22.09.2005 15:42 90.112 soundman.exe
12.09.2005 15:26 1.440.054 Firefox Wallpaper.bmp
09.09.2005 15:39 212.992 alcrmv.exe
29.08.2005 18:09 59.144 zllsputility.exe
29.08.2005 17:52 26.288 zllsputility_loc0407.dll
12.08.2005 17:40 307.200 alcupd.exe
06.08.2005 18:24 57 sierra.ini
17.07.2005 10:42 471 bobdown.ini
19.06.2005 11:21 0 msbb.exe.temp
12.05.2005 22:17 60.416 ALCFDRTM.EXE
12.05.2005 21:45 3.927 SYMEVENT.LOG
12.05.2005 20:31 0 Sti_Trace.log
12.05.2005 20:30 1.348 regopt.log
12.05.2005 20:23 0 nsreg.dat
12.05.2005 20:05 820 OEWABLog.txt
12.05.2005 20:05 708.806 setuplog.txt
12.05.2005 20:02 8.192 REGLOCS.OLD
12.05.2005 20:01 1.246 setuperr.log
12.05.2005 19:59 0 control.ini
12.05.2005 19:59 299.552 WMSysPrx.prx
12.05.2005 19:59 4.161 ODBCINST.INI
12.05.2005 19:58 749 WindowsShell.Manifest
12.05.2005 19:57 1.060 sessmgr.setup.log
12.05.2005 19:57 36 vb.ini
12.05.2005 19:57 37 vbaddin.ini
12.05.2005 19:57 128 DtcInstall.log
29.03.2004 15:23 90.112 unvise32.exe
22.07.2002 16:11 139.264 NeoUninstall.exe
18.08.2001 13:00 26.647 hh.exe
18.08.2001 13:00 15.872 TASKMAN.EXE
18.08.2001 13:00 1.004.032 explorer.exe
18.08.2001 13:00 94.800 twain.dll
18.08.2001 13:00 46.592 twain_32.dll
18.08.2001 13:00 49.680 twunk_16.exe
18.08.2001 13:00 25.600 twunk_32.exe
18.08.2001 13:00 67.072 NOTEPAD.EXE
18.08.2001 13:00 80 explorer.scf
18.08.2001 13:00 17.362 Rhododendron.bmp
18.08.2001 13:00 65.978 Seifenblase.bmp
18.08.2001 13:00 65.832 Santa Fe-Stuck.bmp
18.08.2001 13:00 18.944 vmmreg32.dll
18.08.2001 13:00 2 desktop.ini
18.08.2001 13:00 16.730 Feder.bmp
18.08.2001 13:00 82.944 clock.avi
18.08.2001 13:00 65.954 Pr„riewind.bmp
18.08.2001 13:00 26.582 Granit.bmp
18.08.2001 13:00 26.680 F„cher.bmp
18.08.2001 13:00 1.272 Blaue Spitzen 16.bmp
18.08.2001 13:00 257.568 winhelp.exe
18.08.2001 13:00 271.872 winhlp32.exe
18.08.2001 13:00 17.336 Angler.bmp
18.08.2001 13:00 48.680 winnt.bmp
18.08.2001 13:00 48.680 winnt256.bmp
18.08.2001 13:00 34.818 wmprfDEU.prx
18.08.2001 13:00 13.898 SET7.tmp
18.08.2001 13:00 17.062 Kaffeetasse.bmp
18.08.2001 13:00 1.405 msdfmap.ini
18.08.2001 13:00 1.085.913 SET3.tmp
18.08.2001 13:00 9.522 Zapotek.bmp
18.08.2001 13:00 141.312 regedit.exe
18.08.2001 13:00 707 _default.pif
23.03.1999 08:12 299.520 uninst.exe
112 Datei(en) 15.500.723 Bytes
0 Verzeichnis(se), 14.002.679.808 Bytes frei

system 32

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A0DE-E54F

Verzeichnis von C:\WINDOWS\system32

10.12.2006 05:25 34.258 vsconfig.xml
10.12.2006 05:24 17.145 nvapps.xml
10.12.2006 05:24 148 options.dll
26.11.2006 13:11 98.304 CmdLineExt.dll
26.11.2006 09:45 2.184 wpa.dbl
09.11.2006 04:39 111.784 FNTCACHE.DAT
01.11.2006 21:28 8.891 jupdate-1.5.0_09-b03.log
01.11.2006 21:22 166.036 ielog.dll
20.10.2006 17:14 7.006 jupdate-1.5.0_06-b05.log
12.10.2006 03:10 127.078 javaws.exe
12.10.2006 03:10 49.265 jpicpl32.cpl
12.10.2006 01:35 53.346 javaw.exe
12.10.2006 01:35 49.248 java.exe

E!Ker · 16.12.2006, 17:27

sry 4dp, aber dient der übersichtlichkeit

also ich hba jetzt unter C:\Dokumente und Einstellung\XXX\Anwendungsdaten einen ordner gefunden, der genau an dem tag erstellt wurde, als es mit den popups anfing. dieser ordner heißt "Mail sign dash" und beinhaltet die exe'n
Move chin, ruoipogs, heccbqhp, DALEREGSBOWS und agjikgsk. Desweiteren noch eine versteckte Systemdatei namens 2CA323C8. Ich bin fester überzeugung, dass dies die ursache meines problems ist, weiß allerdings nicht wie ich jetzt vorgehen soll, damit auch alles gründlich entfernt wird.

felix1 · 16.12.2006, 21:15

Warum wirst Du keine Antwort erhalten?
Schon mal darüber nachgedacht:
Logfile of HijackThis v1.99.1
Scan saved at 15:28:38, on 16.12.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Hier mein Rat:
http://www.trojaner-board.de/12154-anleitung-neuaufsetzen-des-systems-und-anschliessende-absicherung.html

E!Ker · 16.12.2006, 21:37

hmm also formatieren hat ich nicht wirklich vor, weil eigentlich alles bestens ist, bis halt auf die popups.

felix1 · 16.12.2006, 21:52

Prüfe das System mit F-Secure Blacklight und poste danach das Logfile.

Prüfe Dein System mit Ewido ewido - anti-spyware and anti-malware solutions Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis, aber bitte lösche vorher aus dem Log alles was mit Cookies zu tun hat.

Danach wird weiter entschieden.

E!Ker · 17.12.2006, 09:04

also f-secure hat nichts gefunden und das ist der log von AVG

---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 00:49:08 17.12.2006

+ Scan-Ergebnis:

C:\System Volume Information\_restore{B6341061-C773-47DB-9F58-93D177F5D8D0}\RP451\A0175331.dll -> Adware.PluginDL : Gesäubert.
C:\System Volume Information\_restore{B6341061-C773-47DB-9F58-93D177F5D8D0}\RP451\A0175332.dll -> Adware.PluginDL : Gesäubert.
C:\WINDOWS\system32\msieconf2.exe -> Dropper.Small.aai : Gesäubert.
C:\System Volume Information\_restore{B6341061-C773-47DB-9F58-93D177F5D8D0}\RP469\A0181527.dll -> Logger.Banker.tu : Gesäubert.
C:\System Volume Information\_restore{B6341061-C773-47DB-9F58-93D177F5D8D0}\RP469\A0181528.dll -> Logger.Banker.tu : Gesäubert.

::Berichtende

mittlerweile hab ich auch keine iexplorer.exe mehr als laufenden prozess und die popups scheinen weg zu sein.

felix1 · 17.12.2006, 16:05

Und jetzt bringe den PC auf den aktuellen Standard:
SP2 + IE7.
Weiterhin stelle die automatischen Updates ein.

E!Ker · 17.12.2006, 22:43

danke vielmals

die popups sind endgültig weg.

k und dann werd ich deinen vorschlag mal beherzigen.

17.12.2006, 16:05	#7
felix1 /// Helfer-Team	Ständig Popups über inet explorer Und jetzt bringe den PC auf den aktuellen Standard: SP2 + IE7. Weiterhin stelle die automatischen Updates ein. __________________ LG Der Felix Keine Hilfe per PN und E-Mail

Ständig Popups über inet explorer

Plagegeister aller Art und deren Bekämpfung: Ständig Popups über inet explorer