Also bei mir öffnen sich ständig Werbeseiten wenn ich ins Internet gehe oder Onlinegames spiele. Hier ist mein logfile. Bitte um Auswertung

Logfile of HijackThis v1.99.1
Scan saved at 16:14:58, on 20.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\htpatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 143.205.172.12:3128
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - {D73F49B6-B51B-4d32-A3B7-BD04B8342F53} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /O6 "USB001" /M "Stylus Photo R200"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [OPSE reminder] "C:\Programme\ScanSoft\OmniPageSE2.0\EregGer\Ereg.exe" -r "C:\Programme\ScanSoft\OmniPageSE2.0\EregGer\ereg.ini"
O4 - HKLM\..\Run: [CAKE IDLE CITY REMOTE] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\setup show cake idle\oncedownload.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BitTorrent] "F:\torrent shit\bittorrent.exe" --force_start_minimized
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: SmartWhois - {FD9DE2B4-C926-4460-81C4-FC58C6F1062E} - C:\Programme\SmartWhois\swmsie.exe
O9 - Extra button: (no name) - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - C:\Programme\SmartWhois\swmsie.exe
O9 - Extra 'Tools' menuitem: SmartWhois - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - C:\Programme\SmartWhois\swmsie.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe


Danke im voraus

Morgen.

Welchen I-Net-Explorer nutzt du? Hast du in diesem den Pop-Up-Blocker aktiviert? Es ist uebrigens total normal, dass auch so einige Werbeseiten das Surfen im Netz recht nervig machen aber was meinst du, wie sich die Seiten auf denen du spiels sonst finanziere?

-Hast du was mit der Uni Klagenfurt zu tun?

Check mal bitte folgende Dateien auf virustotal:

"C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H 2.EXE"
"C:\Programme\ScanSoft\OmniPageSE2.0\EregGer\ereg. ini"
"C:\Programme\ScanSoft\OmniPageSE2.0\EregGer\Ereg. exe"
"C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\setup show cake idle\oncedownload.exe"

Desweiteren koenntest du alle "................(no file)" Eintraege fixen.

Gruss

Undoreal

Hi also ich benutze den i-net explorer 7. Ich habe den Pop up Blocker aktiv und habe überhaupt nix mit der uni Klagenfurt zu tun. Ich spiele gekaufte online spiele wie z.B Counterstrike. Jedes mal wenn ich einen server lade muss ich kurz aus dem spiel gehen weil sich eine Werberseite öffnet obwohl ich nur steam an hab und keinen i -net explorer. Die Dateien check ich später bin an einem andern Pc. Vielen dank fürs checken.

Mfg Sebastian

O.K.

Dann fixe bitte diesen Enitrag

*R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 143.205.172.12:3128*

sowie alle ...............(no file) Eintraege.

Danach poste ein neues log.

Gruss

Undoreal

Hallo

@Sebastian18 hast du etwas mit der Uni Klagenfurt zu tun?
wenn ja, dann würde ich dieser Eintrag nicht fixen :
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 143.205.172.12:3128

Du hast dir einen Swizzor/Loop eingefangen einen recht harmlosen Werbetrojaner.
Mach bitte alle versteckten Datein und Ordner sichtbar.
Kopiere bitte den folgenden Text :

Zitat:

cd\
dir "C:\Dokumente und Einstellungen\All Users.Windows\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

in den Editor (Start - Programme - Zubehör - Editor) und als Ordner.bat mit 'Speichern unter' auf dem Desktop ablegen und gebe bei Dateityp 'Alle Dateien' an,
du solltest jetzt auf dem Desktop diese Datei finden --> Ordner.bat --> dann die Ordner.bat doppelt klicken (nur 1x) --> unter C:\files.txt findest du die Informationen die uns nun interssieren,
kopiere den Text ab und poste in hierher.

MFG

Hallo also ich hab die logs getestet und bei der letzten Datei wurde etwas gefunden. Ich poste das Ergebnis einfach mal rein.

Antivirus Version Update Result
AntiVir 7.3.1.37 02.21.2007 no virus found
Authentium 4.93.8 02.21.2007 no virus found
Avast 4.7.936.0 02.21.2007 no virus found
AVG 386 02.21.2007 no virus found
BitDefender 7.2 02.21.2007 Trojan.FatObfus.Gen
CAT-QuickHeal 9.00 02.21.2007 no virus found
ClamAV devel-20060426 02.21.2007 no virus found
DrWeb 4.33 02.21.2007 no virus found
eSafe 7.0.14.0 02.21.2007 no virus found
eTrust-Vet 30.4.3417 02.21.2007 no virus found
Ewido 4.0 02.21.2007 no virus found
FileAdvisor 1 02.21.2007 no virus found
Fortinet 2.85.0.0 02.21.2007 suspicious
F-Prot 4.2.1.29 02.21.2007 no virus found
F-Secure 6.70.13030.0 02.21.2007 no virus found
Ikarus T3.1.0.31 02.21.2007 not-a-virus:AdWare.Win32.Lop.ag
Kaspersky 4.0.2.24 02.21.2007 no virus found
McAfee 4968 02.21.2007 no virus found
Microsoft 1.2204 02.21.2007 no virus found
NOD32v2 2073 02.21.2007 no virus found
Norman 5.80.02 02.21.2007 no virus found
Panda 9.0.0.4 02.21.2007 Adware/Lop
Prevx1 V2 02.21.2007 Adware.Lop
Sophos 4.14.0 02.21.2007 no virus found
Sunbelt 2.2.907.0 02.17.2007 no virus found
Symantec 10 02.21.2007 no virus found
TheHacker 6.1.6.062 02.21.2007 no virus found
UNA 1.83 02.21.2007 no virus found
VBA32 3.11.2 02.20.2007 suspected of Trojan-Downloader.Obfuscated.1 (paranoid heuristics)
VirusBuster 4.3.19:9 02.21.2007 Adware.Lop.Gen


Was soll ich jetzt machen?

Muss ich die no name files auch im Abgesichternmodus fixen. Also dann einfach in dem Programm noch mal neu durchlaufen lassen und dann den Haken hinter den gewünschten Zeilen einsetzen. Anschließen fixed checked drücken oder?

Hallo Sebastian,
Namen sind Schall und Rauch,aber hier sehr wichtig...
Welche Datei ist das ,die du untersuchen ließest ? Kopiere immer alles aus dem Fenster hierher.Du hast oben und unten "abgeschnitten.
Diese"no file" Einträge sind Schönheitsreperaturen,das hat Zeit...
Auch warten wir immer noch das du die Anweisung von "nochdigger" umsetzt und postest...
Irrlicht

Hallo nochdigger

Ich habe die Ordner alle sichbar gemacht und in der Such alles richtig eingestellt, allerdings findet er nix. Soll der editor während der Suche noch offen sein? Soll man die Datei "Ordner.bat" nennen oder nur ".bat"? Was muss man bei der Codierungeinstellen? Einfach lassen?

Mfg Sebastian

Hallo
Die infizierte Datei heißt "C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\setup show cake idle\oncedownload.exe".

MFG

Hallo

Zitat:

Die infizierte Datei heißt "C:\Dokumente...

gut, wir wollten nur gewissheit welche Datei du ausgewertet hast.

Das beste ist wir fangen nochmal hier an

Zitat:

@Sebastian18 hast du etwas mit der Uni Klagenfurt zu tun?
wenn ja, dann würde ich dieser Eintrag nicht fixen :
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 143.205.172.12:3128

?

Zitat:

allerdings findet er nix.

wer findet was nicht?

Zitat:

Soll man die Datei "Ordner.bat" nennen oder nur ".bat"?

Dateiname - Ordner.bat -
Dateityp - Alle Dateien -
Codierung - ANSI -

ich glaub die Einstellungen sind geklärt, dann arbeite bitte nun den rest ab.

MFG

Hi
Ich hab nix mit der Uni Klagenfurth zu tun.
Also ich poste die Daten einfach mal rein. Hoffe mal das des richtig ist.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 185E-E0F6

Verzeichnis von C:\Dokumente und Einstellungen\All Users.Windows\Anwendungsdaten

10.02.2007 16:30 <DIR> Adobe
28.10.2006 10:05 <DIR> Adobe Systems
19.01.2007 21:35 <DIR> allTunes
25.01.2007 17:49 <DIR> Apple Computer
19.01.2007 13:39 <DIR> avg7
07.01.2007 16:19 <DIR> Buhl Data Service GmbH
28.10.2006 13:58 <DIR> CyberLink
18.12.2006 13:17 <DIR> Firefly Studios
07.01.2007 16:19 <DIR> fun communications
25.10.2006 17:02 <DIR> Google
29.08.2006 09:24 <DIR> Grisoft
04.09.2006 09:33 <DIR> ISDNWatch
29.08.2006 14:13 <DIR> PowerQuest
25.01.2007 21:34 1.365 QTSBandwidthCache
10.11.2006 09:44 <DIR> ScanSoft
16.02.2007 15:59 <DIR> setup show cake idle
12.01.2007 18:54 <DIR> Skype
21.10.2006 20:43 <DIR> SolidDocuments
10.11.2006 09:45 <DIR> SSScanAppDataDir
10.11.2006 09:43 <DIR> SSScanWizard
23.12.2006 13:28 <DIR> TamoSoft
07.01.2007 16:17 <DIR> tax
11.10.2006 20:31 <DIR> UDL
29.08.2006 08:57 <DIR> Windows Genuine Advantage
19.11.2006 14:13 <DIR> WinZip
1 Datei(en) 1.365 Bytes
24 Verzeichnis(se), 2.259.988.480 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 185E-E0F6

Verzeichnis von C:\Dokumente und Einstellungen\sebastians\Anwendungsdaten

21.11.2006 14:36 <DIR> .BitTornado
20.11.2006 20:09 <DIR> Adobe
01.10.2006 10:13 <DIR> AdobeAUM
10.02.2007 16:27 <DIR> AdobeUM
02.09.2006 14:03 <DIR> Ahead
31.10.2006 10:21 <DIR> ATI
29.08.2006 12:30 <DIR> AVG7
03.01.2007 18:42 <DIR> BitTorrent
22.10.2006 13:20 286 config.dat
16.10.2006 17:01 <DIR> Corel
22.01.2007 18:27 <DIR> EBookSys
25.09.2006 13:20 <DIR> EPSON
24.09.2006 16:38 <DIR> FRITZ!
10.01.2007 19:57 78.560 GDIPFONTCACHEV1.DAT
25.10.2006 17:50 <DIR> Google
29.08.2006 17:03 <DIR> Help
29.08.2006 15:25 <DIR> ICQLite
29.08.2006 12:29 <DIR> Identities
29.08.2006 14:00 <DIR> IsolatedStorage
02.09.2006 13:45 <DIR> Macromedia
08.02.2007 18:16 <DIR> Morpheus
11.11.2006 23:06 <DIR> Mozilla
05.09.2006 13:57 <DIR> Nero
09.12.2006 15:59 <DIR> NetPumper
13.12.2006 18:35 <DIR> SecuROM
21.02.2007 20:16 <DIR> Skype
22.10.2006 17:37 <DIR> SolidDocuments
05.11.2006 18:20 <DIR> Steinberg
09.09.2006 16:46 <DIR> Sun
29.08.2006 14:50 <DIR> Talkback
29.08.2006 14:50 <DIR> Thunderbird
30.08.2006 15:35 <DIR> ubi.com
27.11.2006 21:32 <DIR> Unigraphics Solutions
18.12.2006 15:03 <DIR> vlc
21.02.2007 17:40 11.780 wklnhst.dat
3 Datei(en) 90.626 Bytes
32 Verzeichnis(se), 2.259.988.480 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 185E-E0F6

Verzeichnis von C:\Windows\tasks

25.01.2007 17:49 276 AppleSoftwareUpdate.job
1 Datei(en) 276 Bytes
0 Verzeichnis(se), 2.259.988.480 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 185E-E0F6

Verzeichnis von C:\Dokumente und Einstellungen\All Users.Windows\Anwendungsdaten

10.02.2007 16:30 <DIR> Adobe
28.10.2006 10:05 <DIR> Adobe Systems
19.01.2007 21:35 <DIR> allTunes
25.01.2007 17:49 <DIR> Apple Computer
19.01.2007 13:39 <DIR> avg7
07.01.2007 16:19 <DIR> Buhl Data Service GmbH
28.10.2006 13:58 <DIR> CyberLink
18.12.2006 13:17 <DIR> Firefly Studios
07.01.2007 16:19 <DIR> fun communications
25.10.2006 17:02 <DIR> Google
29.08.2006 09:24 <DIR> Grisoft
04.09.2006 09:33 <DIR> ISDNWatch
29.08.2006 14:13 <DIR> PowerQuest
25.01.2007 21:34 1.365 QTSBandwidthCache
10.11.2006 09:44 <DIR> ScanSoft
16.02.2007 15:59 <DIR> setup show cake idle
12.01.2007 18:54 <DIR> Skype
21.10.2006 20:43 <DIR> SolidDocuments
10.11.2006 09:45 <DIR> SSScanAppDataDir
10.11.2006 09:43 <DIR> SSScanWizard
23.12.2006 13:28 <DIR> TamoSoft
07.01.2007 16:17 <DIR> tax
11.10.2006 20:31 <DIR> UDL
29.08.2006 08:57 <DIR> Windows Genuine Advantage
19.11.2006 14:13 <DIR> WinZip
1 Datei(en) 1.365 Bytes
24 Verzeichnis(se), 2.259.955.712 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 185E-E0F6

Verzeichnis von C:\Dokumente und Einstellungen\sebastians\Anwendungsdaten

21.11.2006 14:36 <DIR> .BitTornado
20.11.2006 20:09 <DIR> Adobe
01.10.2006 10:13 <DIR> AdobeAUM
10.02.2007 16:27 <DIR> AdobeUM
02.09.2006 14:03 <DIR> Ahead
31.10.2006 10:21 <DIR> ATI
29.08.2006 12:30 <DIR> AVG7
03.01.2007 18:42 <DIR> BitTorrent
22.10.2006 13:20 286 config.dat
16.10.2006 17:01 <DIR> Corel
22.01.2007 18:27 <DIR> EBookSys
25.09.2006 13:20 <DIR> EPSON
24.09.2006 16:38 <DIR> FRITZ!
10.01.2007 19:57 78.560 GDIPFONTCACHEV1.DAT
25.10.2006 17:50 <DIR> Google
29.08.2006 17:03 <DIR> Help
29.08.2006 15:25 <DIR> ICQLite
29.08.2006 12:29 <DIR> Identities
29.08.2006 14:00 <DIR> IsolatedStorage
02.09.2006 13:45 <DIR> Macromedia
08.02.2007 18:16 <DIR> Morpheus
11.11.2006 23:06 <DIR> Mozilla
05.09.2006 13:57 <DIR> Nero
09.12.2006 15:59 <DIR> NetPumper
13.12.2006 18:35 <DIR> SecuROM
21.02.2007 20:16 <DIR> Skype
22.10.2006 17:37 <DIR> SolidDocuments
05.11.2006 18:20 <DIR> Steinberg
09.09.2006 16:46 <DIR> Sun
29.08.2006 14:50 <DIR> Talkback
29.08.2006 14:50 <DIR> Thunderbird
30.08.2006 15:35 <DIR> ubi.com
27.11.2006 21:32 <DIR> Unigraphics Solutions
18.12.2006 15:03 <DIR> vlc
21.02.2007 17:40 11.780 wklnhst.dat
3 Datei(en) 90.626 Bytes
32 Verzeichnis(se), 2.259.955.712 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 185E-E0F6

Verzeichnis von C:\Windows\tasks

25.01.2007 17:49 276 AppleSoftwareUpdate.job
1 Datei(en) 276 Bytes
0 Verzeichnis(se), 2.259.955.712 Bytes frei


MFG Sebastian

Hallo

deinstaliere bitte den Netpumper über Start -> Einstellungen -> Systemsteuerung -> Software der hat dir den Swizzor mitgebracht, anschließend wechsel in den abgesicherten Modus (beim start F8 drücken) und lösche diesen Ordner samt Inhalt :
C:\Dokumente und Einstellungen\All Users.Windows\Anwendungsdaten\setup show cake idle


starte dann Hijackthis - do a system scan only - und hake diesen Eintrag an :

O4 - HKLM\..\Run: [CAKE IDLE CITY REMOTE] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\setup show cake idle\oncedownload.exe

klicke nun - fix checked - und beende Hijackthis, starte deinen Rechner in den normalen Modus.
Berichte ob noch Popups kommen und poste ein neues HijackThis Log.

MFG

Den Netpumper habe ich vorher schon deinstalliert, weil ich des bei euch auf der Seite gelesen habe. Soll ich die Datei "O4 - HKLM\..\Run: [CAKE IDLE CITY REMOTE] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\setup show cake idle\oncedownload.exe" trotzdem löschen. Wie kommt man noch mal in den abgesicherten Modus?

Mfg

loel
EDIT:Zitat von Nochdigger ^^

Zitat:

abgesicherten Modus (beim start F8 drücken)

F8 beim Hochfahren gedrueckt halten..