Hi. In letzter Zeit tauchen beim Surfen sehr of Pop-Ups auf, die mich auf Seiten bringen wollen, auf denen ich angebliche Anti-Spyware-Software etc. herunterladen soll. Das hab ich natürlich nicht gemacht, aber irgendwie müssen diese Pop-Ups ja zustande kommen. Vielleicht kann mir jemand helfen

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:54:15, on 14.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\Mixer.exe
D:\Avira\AntiVir PersonalEdition Premium\avgnt.exe
D:\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
D:\Programme\Ad-Aware 2007\AAWTray.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
D:\Avira\AntiVir PersonalEdition Premium\sched.exe
D:\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Programme\Virtual CD v8\System\VC8SecS.exe
D:\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\rundll32.exe
D:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AAWTray] D:\Programme\Ad-Aware 2007\AAWTray.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{141222DA-3ED2-4944-8218-1E7344E886DF}: NameServer = 213.191.92.82 213.191.74.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{141222DA-3ED2-4944-8218-1E7344E886DF}: NameServer = 213.191.92.82 213.191.74.11
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Programme\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: NBService - Nero AG - D:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Virtual CD v8 Management Service (VC8SecS) - H+H Software GmbH - D:\Programme\Virtual CD v8\System\VC8SecS.exe

--
End of file - 8002 bytes

Dürfte ncihts mit SpyWare zu tun haben!
Installiere dir einen Popup Blocker ! Arbeitest du Außschließlich mit dem Internet Explorer oder nur mit dem Mozilla Firefox?

Ich arbeite nur mit Firefox und das Problem ist erst seit kurzen aktuell. Ich hab bei Firefox auch die Pop-Up Sperre aktiviert, trotzdem kommen unten rechts immer Windows-ähnliche Nachrichten, die mir sagen, mein PC wäre mit Viren befallen. Ich dachte, die Nachrichten hängen mit Spyware zusammen, kenne mich aber nicht so gut aus mit sowas.

Hallöchen,

1) - Lade dir SmitfraudFix herunter.

2) - Öffne es und lass dein System durchsuchen - Option 1

3) - Im abgesicherten Modus Smitfraudfix mit Option 2 ausführen

4) - Berichte Posten

Oder versuche erstmal eine Simplere löhsung.. wenns dann geht!
http://filepony.de/download-noscript/
Klicke auf Installieren

Es installiert sich sehr schnell und dann den FireFox Browser neu starten einfach.
Wenn du jetzt auf Seiten kommst wo es z.B. um einen Download geht und das dann geblockt wird dann machst du einfach Rechtsklick drauf und dann auf " Datei Downloaden" oder wenn du ein Popup brauchst (<Internet Radio usw.>)
Dann wieder Rechtsklick und dann auf "Popups für diese Seite 'immer' oder 'vorrübergehend' zulassen".

Das da eine art Warnung kommt das du ein Virus drauf hast, kann schon gut sein, aber wahrscheinlich nur um für die Software zu werben z.B. Spyware Doctor. Du installierst es er findet unmengen von Spyware usw. und dann musst du dir die Vollversion kaufen und bist am verzfeifeln, ob da nun wirklich was drauf ist. Verstehst du das Prinzip? Also keine Angst haben

Zitat:

Zitat von 11Boy11

Hallöchen,

1) - Lade dir SmitfraudFix herunter.

2) - Öffne es und lass dein System durchsuchen - Option 1

3) - Im abgesicherten Modus Smitfraudfix mit Option 2 ausführen

4) - Berichte Posten

Danke für die Hilfe, hier ist der Bericht:

SmitFraudFix v2.267

Scan done at 18:56:31,14, 14.12.2007
Run from J:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\Mixer.exe
D:\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
D:\Programme\Ad-Aware 2007\AAWTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\mujowb.exe
D:\Avira\AntiVir PersonalEdition Premium\sched.exe
D:\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Programme\Virtual CD v8\System\VC8SecS.exe
D:\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\MSN Messenger\usnsvc.exe
D:\Programme\Ad-Aware 2007\Ad-Watch2007.exe
D:\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\***


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\***\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\***\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 213.191.92.82
DNS Server Search Order: 213.191.74.11

HKLM\SYSTEM\CCS\Services\Tcpip\..\{141222DA-3ED2-4944-8218-1E7344E886DF}: NameServer=213.191.92.82 213.191.74.11
HKLM\SYSTEM\CS1\Services\Tcpip\..\{141222DA-3ED2-4944-8218-1E7344E886DF}: NameServer=213.191.92.82 213.191.74.11


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Zitat:

Zitat von Seitsef

Oder versuche erstmal eine Simplere löhsung.. wenns dann geht!
http://filepony.de/download-noscript/
Klicke auf Installieren

Es installiert sich sehr schnell und dann den FireFox Browser neu starten einfach.
Wenn du jetzt auf Seiten kommst wo es z.B. um einen Download geht und das dann geblockt wird dann machst du einfach Rechtsklick drauf und dann auf " Datei Downloaden" oder wenn du ein Popup brauchst (<Internet Radio usw.>)
Dann wieder Rechtsklick und dann auf "Popups für diese Seite 'immer' oder 'vorrübergehend' zulassen".

Das da eine art Warnung kommt das du ein Virus drauf hast, kann schon gut sein, aber wahrscheinlich nur um für die Software zu werben z.B. Spyware Doctor. Du installierst es er findet unmengen von Spyware usw. und dann musst du dir die Vollversion kaufen und bist am verzfeifeln, ob da nun wirklich was drauf ist. Verstehst du das Prinzip? Also keine Angst haben

Gut ich hoffe das hilft. Ich brauche dummerweise relativ oft Java und Javascript, obwohl das natürlich eine Sicherheitslücke darstellt. Ach und das mit der Warnung hab ich verstanden Ist ja klar, dass das Betrüger sind, aber durch Spyware kommt diese Warnung doch erst zustande dachte ich?

Gut ich hoffe das hilft. Ich brauche dummerweise relativ oft Java und Javascript, obwohl das natürlich eine Sicherheitslücke darstellt. Ach und das mit der Warnung hab ich verstanden Ist ja klar, dass das Betrüger sind, aber durch Spyware kommt diese Warnung doch erst zustande dachte ich?[/QUOTE]
Mh ich glaube ein Popup kann dir wenig tuen. Aber das ist ja klar das da steht das du z.B. Infiziert bist damit du die Soft ware kaufst.

Ich finde es trotzdem komisch, dass diese "mujowb.exe" die ganze Zeit auf das Internet zugreifen will. Weiß jemand, zu welchem Programm sie gehört?

Geh mal zu Start unten links und dann Suchen dann hast du eigentlich den Pfad wenn du das mal bei Virustotal.com hochladen könntest wüssten wir vielleicht mehr?!

SmitFraudFix hat ja diesen Pfad angegeben "C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\mujowb.exe"
und meine Firewall sagt mir als Pfad "c:\Windows\system32\shell32

Hi,

folgendes machen:

-> Versteckte dateien sichtbar machen
-> Deaktivieren der Systemwiederherstellung

_____

Killbox herunterladen (Siehe Signatur)

- "Delete on Reboot" anhaken
- Bei "Full Path..." bitte folgendes reinkopieren:

Zitat:

C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\mujowb.exe

Jedoch bitte bei den *** deinen Benutzernamen


- klicke auf das rote Kreuz
- dann wird gefragt: "Do you want to reboot? "
- klicke "yes"

Löscht das Programm die Datei nicht einfach, auch wenn sie vielleicht kein Virus ist und von Windows gebraucht wird?

Bitte nur das löschen

Zitat:

C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\mujowb.exe

Ansonsten bitte alles abarbeiten. Versteckte dateien sichtbar machen usw.

Hallo

lass bitte, wenn du alle Dateien sehen kannst, die
mujowb.exe
bitte hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(071109)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG