Hi,
seit das letzte Firefox-Update installiert wurde (Zufall?) öffnen sich trotz aktiviertem Popup-Blocker einfach Seiten mit Werbung, zB Quelle, auch wenn ich auf Seiten ohne Werbung surfe.

Ich habe schon von ähnlichen Fällen, auch hier im Forum, gelesen, aber keine richtige Lösung gefunden. MEist ist von einem spezifischen Problem mit Mal- oder Spyware die Rede.

Habe von diesem Thema wenig Ahnung, aber da ich hier davon gelesen habe Malewarebyte, Spybot und Antivir durchlaufen lassen. Gab auch einen Fund bei Malewarebyte, aber das Problem besteht trotzdem noch.


Also poste ich hier mal mein Hijack-Log und hoffe ihr könnt mir helfen:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:57:47, on 28.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
E:\Programme\DAEMON Tools\daemon.exe
E:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\dokumente und einstellungen\daniel\lokale einstellungen\anwendungsdaten\kcakysq.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
e:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
H:\Downloads\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - e:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [DAEMON Tools] "e:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [kcakysq] "c:\dokumente und einstellungen\daniel\lokale einstellungen\anwendungsdaten\kcakysq.exe" kcakysq
O4 - HKCU\..\Run: [SpybotSD TeaTimer] e:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - e:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - e:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - e:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - e:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - e:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - e:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: h**p://asia.msi.com.tw
O15 - Trusted Zone: h**p://global.msi.com.tw
O15 - Trusted Zone: h**p://www.msi.com.tw
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - h**p://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 7262 bytes
         

Hoffentlich habe ich alles richtig gemacht und danke schonmal, für eure (am besten leicht verständlichen^^) Antworten

Hallo und

Zitat:

Gab auch einen Fund bei Malewarebyte, aber das Problem besteht trotzdem noch.

poste bitte das Log von MBAM hierher.
Hast du vor Auftreten der Popups Software installiert?

Überprüfe dein System mit Navilog

Zitat:

Bitte lade Dir Navilog von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
  Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

poste bitte das entstandene Log hierher, dann sehen wir weiter.

MFG

Zitat:

c:\dokumente und einstellungen\daniel\lokale einstellungen\anwendungsdaten\

Bitte diese Datei auf www.virustotal.com/de überprüfen lassen und Ergebnis hier posten

TIPP: Gehe auf Ordneroptionen und lasse ALLE ORDER anzeigen (Auch versteckte)

kcakysq.exe hört sich für mich nach Virus an! Vor allem, weil sich normalerweise in diesem Order keine .exe Datei befindet


Lass und den Virus umhauen

Ob ich Software installiert habe weiß ich nicht mehr genau, das Problem besteht schon ca. seit nem Monat, also seit dem Firefox-Update, aber da wird wohl kein Virus drin gewesen sein.

Ich hab Malewarebyte leider deinstalliert und nur noch Spybot drauf, werde aber nach Bedarf Malewarebyte nochmal durchlaufen lassen.

Hab jetzt die kcakysq.exe hochgeladen und das ist das Ergebnis:

Code: Alles auswählenAufklappen

ATTFilter

Datei kcakysq.exe empfangen 2009.03.28 12:58:52 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/39 (2.57%)

McAfee-GW-Edition	6.7.6	2009.03.28	Trojan.LooksLike.Dropper
         

Soll ich das jetzt mit hijckthis fixen?

In dem Ordner waren auch noch 3 ?NeroShowTime.Files9.dat? Dateien mit ähnlichem, bzw. eine mit gleichem Namen.

Hallo

überprüfe das System mit Navilog und poste den Bericht bitte hierher.

MFG

Code: Alles auswählenAufklappen

ATTFilter

Search Navipromo version 3.7.6 began on 28.03.2009 at 16:02:37,89

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel Pentium III Xeon-Prozessor )
BIOS : Default System BIOS
USER : Daniel ( Administrator )
BOOT : Normal boot

Antivirus : AntiVir Desktop 9.0.1.26 (Activated)


C:\ (Local Disk) - NTFS - Total:48 Go (Free:36 Go)
D:\ (CD or DVD)
E:\ (Local Disk) - NTFS - Total:195 Go (Free:134 Go)
F:\ (Local Disk) - NTFS - Total:53 Go (Free:50 Go)
G:\ (CD or DVD)
H:\ (Local Disk) - NTFS - Total:124 Go (Free:40 Go)
Z:\ (Local Disk) - NTFS - Total:24 Go (Free:24 Go)


Search done in normal mode


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Daniel\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\******~1\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\Daniel\lokale~1\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\******~1\lokale~1\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\Daniel\startm~1\progra~1" *** 


*** Search folders in "C:\DOKUME~1\******~1\startm~1\progra~1" *** 


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Daniel\lokale~1\anwend~1" * 

* Scan in "C:\DOKUME~1\******~1\lokale~1\anwend~1" * 



*** Search files *** 



*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"kcakysq"="\"c:\\dokumente und einstellungen\\daniel\\lokale einstellungen\\anwendungsdaten\\kcakysq.exe\" kcakysq"


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Daniel\lokale~1\anwend~1" : 

kcakysq.exe found !
kcakysq.dat found !
kcakysq_nav.dat found !
kcakysq_navps.dat found !

* In "C:\DOKUME~1\******~1\lokale~1\anwend~1" : 


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :



*** Search completed on 28.03.2009 at 16:04:04,46 ***
         

Also hier wurde auch dieses kcakysq gefunden, wie soll ich das jetzt entfernen?

Nochmal NaviLog diesmal mit der Option [2]

und nochmal posten

Code: Alles auswählenAufklappen

ATTFilter

Navipromo Removal version 3.7.6 started on 28.03.2009 at 16:14:29,81

Fix running from C:\Programme\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel Pentium III Xeon-Prozessor )
BIOS : Default System BIOS
USER : Daniel ( Administrator )
BOOT : Normal boot

Antivirus : AntiVir Desktop 9.0.1.26 (Activated)


C:\ (Local Disk) - NTFS - Total:48 Go (Free:36 Go)
D:\ (CD or DVD)
E:\ (Local Disk) - NTFS - Total:195 Go (Free:134 Go)
F:\ (Local Disk) - NTFS - Total:53 Go (Free:50 Go)
G:\ (CD or DVD)
H:\ (Local Disk) - NTFS - Total:124 Go (Free:40 Go)
Z:\ (Local Disk) - NTFS - Total:24 Go (Free:24 Go)


Automatic removal 
with Catchme and GNS results


Cleanning stage done on Reboot

 
*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)
 

*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\WINDOWS\System32" *


* Deletion in "C:\Dokumente und Einstellungen\Daniel\lokale~1\anwend~1" * 


* Deletion in "C:\DOKUME~1\ELISAB~1\lokale~1\anwend~1" * 


*** Deleting folders in "C:\WINDOWS" ***


*** Deleting folders in "C:\Programme" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Daniel\anwend~1" *** 


*** Deleting folders in "C:\DOKUME~1\ELISAB~1\anwend~1" *** 


*** Deleting folders in "C:\Dokumente und Einstellungen\Daniel\lokale~1\anwend~1" *** 


*** Deleting folders in "C:\DOKUME~1\ELISAB~1\lokale~1\anwend~1" *** 


*** Deleting folders in "C:\Dokumente und Einstellungen\Daniel\startm~1\progra~1" *** 


*** Deleting folders in "C:\DOKUME~1\ELISAB~1\startm~1\progra~1" *** 



*** Deleting files ***


*** Deleting temporary files ***

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\Daniel\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :


* In "C:\WINDOWS\system32" *


C:\WINDOWS\prefetch\kcakysq*.pf found ! 
Copy C:\WINDOWS\prefetch\kcakysq*.pf done !
C:\WINDOWS\prefetch\kcakysq*.pf deleted !


* In "C:\Dokumente und Einstellungen\Daniel\lokale~1\anwend~1" * 


kcakysq.exe found ! 
Copy kcakysq.exe done !
kcakysq.exe deleted !

kcakysq.dat found ! 
Copy kcakysq.dat done !
kcakysq.dat deleted !

kcakysq_nav.dat found ! 
Copy kcakysq_nav.dat done !
kcakysq_nav.dat deleted !

kcakysq_navps.dat found ! 
Copy kcakysq_navps.dat done !
kcakysq_navps.dat deleted !


* In "C:\DOKUME~1\ELISAB~1\lokale~1\anwend~1" * 



*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned


*** Certificates ***

Egroup Certificate not found !
Electronic-Group Certificate not found !
Montorgueil Certificate not found !
OOO-Favorit Certificate not found !
Sunny-Day-Design-Ltd Certificate not found !

*** Search others known folders and files ***



*** Cleaning stage complete on 28.03.2009 at 16:17:08,25 ***
         

Ist es damit geschafft?

Hallo

sieht so aus, was machen die Popups?

MFG

Bis jetzt sind keine erschienen und das schon, vorher wären in dieser Zeit mindestens 10 gekommen.

Ich danke auch für eure Hilfe, klasse Board. Jetzt weiß ich, wo ich in solchen Fragen Hilfe finde. Den Spybot-Schutz werde ich jetzt neben Antivir laufen lassen.

Also danke nochmal!! mir wurde geholfen und Thema kann geschlossen werden.