Hallo Leute!

Hab ein kleines Problem.
Seitdem ich heute morgen den Link eines Freundes aufgerufen habe (er schickte ihn über icq; sollte wohl ein screensaver sein, den ich dann aber letztendlich nicht öffnen konnte) erscheinen in unregelmäßigen Abständen kleine Pop-ups mit irgendwelchen Werbeanzeigen....ist hoffentlich nichts Schlimmes, aber nervig ist es allemal.

Da ich PC-technisch eher wenig bewandert bin, habe ich ein Hijack This File erstellt und wäre um Hilfe bei der Auswertung dankbar.

Ad-aware hab ich auch schon scannen lassen, das Problem besteht aber weiterhin.

Hier das File:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:18:28, on 30.05.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18904)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\spool\drivers\w32x86\3\E_FATICDE.EXE
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\Users\Public\winnsvc.exe
C:\Users\****\AppData\Local\Temp\3354.exe
C:\Windows\system32\rundll32.exe
C:\Users\****\AppData\Local\Temp\Irk.exe
C:\Windows\system32\conime.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10e.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Users\****\AppData\Local\Temp\Irl.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\******\Desktop\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p:\\www.samsungcomputer.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = **tp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://***.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p:\\www.samsungcomputer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\PROGRA~1\mcafee\VIRUSS~1\scriptsn.dll
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [mcagent_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [ICQ] "C:\PROGRA~1\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [EPSON Stylus DX7400 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE /FU "C:\Windows\TEMP\E_SAC99.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [Windows System Manager] C:\Users\Public\winnsvc.exe
O4 - HKCU\..\Run: [comctl32] C:\Users\****\AppData\Roaming\winsvc32.exe
O4 - HKCU\..\Run: [Halo2] rundll32.exe C:\Users\****\AppData\Local\Temp\sshnas21.dll,Beep16
O4 - HKCU\..\Run: [M5T8QL3YW3] C:\Users\***\AppData\Local\Temp\Irl.exe
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
         

Vielen Dank für die Hilfe!

Gruß

Moin Chris. Ich würde gerne mal was ausprobieren:

Norton Power Eraser - Anleitung

NPE ist ein Tool zum Entfernen von Crim- und Scareware welche sich hartnäckig vor anderen Virenscannern versteckt und durch PopUps oder andere Meldungen die Arbeit am Computer massiv behindert.
Die SCanmethoden sind sehr aggressiv daher sollte das Tool nicht leichfertig benutzt werden.
Funde sollten erst dann gelöscht werden wenn ein Helfer dies ausdrücklich empfohlen hat.
Bei falscher oder leichtsinniger Benutzung droen Datenverlust und Systeminstabilität!


Inhalt:

• Dowload und Initiallisierung
• Scan
• Posten des logfiles

Download und Initiallisierung

• Downloade dir das Programm von hier: http://security.symantec.com/nbrt/npe.asp
  
• Führe die NMRUI.exe mit einem Doppelklick aus.

• Wechsel in die Einstellungen.
  • Dort gibst du als Speicherort für die Protokolldatei C:\ ein.
  • Außerdem stellst du den Erkennungsmodus auf aggressiv ein!
  • Abschließend klickst du Übernehmen und dann OK um wieder in das Hauptfenster zu gelangen.

Scan

• Dort klickst du auf Scannen (Systemscan) um den Scan zu starten.
  
  
  
• Nach dem Scan entferne auf keinen Fall irgendwelche Funde!!

Posten des logfiles

• Beende das Programm und hänge das logfile an deinen nächsten Post an.
  
  
  
• Das logfile findest du unter C:\DatumUhrzeit.xml Datei. Diese hänge bitte wie in obigem Bild beschrieben an deinen nächsten Post an.
  

Danke für die schnelle Antwort!

Zuerst etwas, das mir noch aufgefallen ist: icq öffnet jetzt manchmal mit jedem Kontakt aus meiner Liste nacheinander ein Chatfenster, schließt es dann aber sofort auch schon wieder (auch Kontakte, die offline sind).
Weiß nicht, was das zu bedeuten hat, ist aber auch erst seit diesem Link der Fall.


Habe dann deinen Tipp befolgt.
Beim ersten Mal hats geklappt aber die Datei ist ja riesig^^...deswegen war ich mir nicht sicher ob du wirklich die gemeint hast (wurde über ein Fenster im Internetexplorer geöffnet) und habe den Scan deshalb ein zweites Mal durchgeführt, da kam am Ende aber eine Fehlermeldung und kein Ergebnis mehr. (Error: Zugriff verweigert
Fehlercode: 0x80070005, n49, n58, n4C, n26 )

Gruß
Chris

Poste bitte die Datei des ersten Scans. Egal ob die riesig ist.

Wenn sie zu groß zum anhängen ist dann lade sie bei rapidshare hoch und poste uns den Downloadlink.

Ok, hier der Link.

hxxp://rapidshare.com/files/393301252/Info20100530162544.xml.html

Gruß

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop

• Starte das Programm durch einen Doppelklick auf das Avenger Symbol:
  .
  

• Setze den Haken bei "Automatically disable any rootkits found"
• Kopiere nun folgenden Text in das weiße Feld bei -> "Input script here"

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
c:\users\chris\appdata\local\temp\irk.exe
c:\users\chris\appdata\local\temp\irl.exe
c:\users\public\winnsvc.exe
c:\users\chris\appdata\local\temp\sshnas21.dll
c:\users\chris\appdata\roaming\winsvc32.exe
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Forum.

Räume danach den PC mit dem CCleaner auf und lasse Mawarebytes scannen.

Sag mal hast du eigentlich kein AntiViren Programm installiert???

Hallo !!!

ich habe leider genau das selbe Problem wie im ersten Post beschrieben.
Habe auch versucht das in etwa nachzuvollziehen...
Icq öffnet nacheinander von jedem Kontakt ein chatfenster und schließt es danach wieder. Während dieser Zeit kann ich am rechner nichts machen.

Habe jetzt selber norton power eraser laufen lassen auf aggressiv und nur auf C:

Hier das logfile!

Kann da bitte der Spezialist einmal drüber schauen? O:-)

Vielen Dank

hxxp://rapidshare.com/files/403207006/Info20100627122128.xml.html