![]() |
Werbe Popus nerven...Hilfe!!! Moin moin, langsam geht es mir echt auf die Nerven. Ich habe seit einigen Tagen das problem, daß sich alle paar Minuten Werbefenster öffnen. Das sind kleinere popups, also nicht bildschirmfüllend und zeigen Werbung aus Amiland (für den iPod, Versicherungen und Geldanlagen). Als Absender ist zu erkennen "http://ads1.revenue.net/j?site_id=1341...usw., wobei diese Adressen teilweise wechseln. Habe mit allen gängigen Tools (Antivir, Adaware, Spybot) versucht, daß Teil zu killen, allerdings ohne Erfolg. Mein problem: ich bin erstens ein PC Dummie und kann den PC auch nicht im abgesicherten Modus fahren, da ich ein Apple Cinema Display als Monitor betreibe. Im abgesicherten Modus bleibt der Flachbildschirm also schwarz. Hat jemand eine Idee, was da meinen PC befallen hat und wie ich vorgehen könnte? Ach ja, ich nutze Windows XP. Danke im voraus! |
Poste mal ein HJT-Logfile. Halte Dich genau an die Anweisungen: http://www.trojaner-board.de/showthread.php?t=17493 |
Hi felix, ich hoffe, daß das so richtig ist mit dem Log? Logfile of HijackThis v1.99.1 Scan saved at 11:05:49, on 28.09.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\Programme\Microsoft SQL Server\MSSQL$EAZYSALES\Binn\sqlservr.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\WINDOWS\System32\HPZipm12.exe C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Marius Schweitz\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis[1].zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Microsoft Services] lssrv.exe O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.exe O4 - HKLM\..\RunOnce: [ATIPRB] C:\WINDOWS\System32\rundll32.exe /g O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Startup: Registration-Studio 8 SE.lnk = C:\Programme\Pinnacle\Studio 8\Register\RegTool.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O13 - WWW. Prefix: http://ehttp.cc/? O15 - Trusted Zone: http://www.scottrader.com O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/2034d9b5daa1652f5505/netzip/RdxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096548387569 O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/installers/pinstall/pinstall.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {C14C9409-1E1B-4F00-94AD-70F055AA71B2} (TradeSignal express) - http://www.tradesignal.com/wpa/tsb/2.7.0.18/components/tsbt-2-7-0-18.cab O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/_media/dalaillama/ampx.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2FCD5468-9A5C-4E0A-AD2A-D85FCF11D5E3}: NameServer = 212.7.148.97 212.7.148.65 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe _____________ Anm. Aktive Links editiert! Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis. LG Cidre S-Mod TB |
Servus, maureco! Zitat:
Einzig sinnvoller Rat hier: Neu Aufsetzen nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=12154 Alles Gute, stupormundi |
Ich vermute mal, dass Du Dir das hier eingefangen hast: http://www.sophos.de/virusinfo/analyses/w32rbotlt.html Das sieht nicht gut aus. Grund dafür ist u.a ein veraltetes System. Bevor ich jetzt sage, dass Du neu aufsetzen sollst, mache einen escan genau nach Anleitung und poste das mit der Find.bat erzeugte Log: http://www.trojaner-board.de/showthread.php?t=17492 |
Zitat:
Hi Felix, mein Problem: ich nutze einen Apple Cinema Display Monitor und das blöde teil bleibt im abgesicherten Modus schwarz. Ich wäre also blind. Schätze ich muß einen Freund bitten, mit einem Monitor hier anzurücken, damit es weitergehen kann...? Oder haben wir andere Möglichkeiten? Mit aufsetzen meinst Du, daß das system neu aufgesetzt werden muß? |
Servus, maureco! Lass´mal die von mir zitierte Datei bei Jotti virusscan.jotti.org/de prüfen und poste das Ergebnis stupormundi |
Zitat:
|
Zitat:
Ok, werde ich machen. Aber zunächst mal ein dickes Danke an Euch. ich finde es klasse, daß ihr mir so schnell geantwortet habt und versucht, mir zu helfen! |
Zitat:
Ich schrieb ja schon, daß ich ein PC Dummie bin...wo finde ich denn die Datei auf meinem PC, wenn ich bei Jotti auf "Durchsuchen" klicke? |
Wahrscheinlich im System oder system32 - Ordner auf Deiner Systempartition Sorge zuvor dafür, dass im explorer auch versteckte Systemdateien angezeigt werden. Dort kannst Du auch zuvor schon die Suchfunktion nutzen, um die Datei zu finden! Zitat:
|
Moin, nur als Ergänzung sollte es der hier sein http://www.sophos.de/virusinfo/analyses/w32rbotlt.html ändere alle deine Passwörter. Gruß riesurf |
Zitat:
Jetzt bin ich etwas verwirrt. Keine der Dateien konnte ich finden, weder im System noch Sytem32, obwohl ich auch die versteckten Dateien laut deiner Anleitung anzeigen ließ. Komisch. Ich habe zeitgleich noch einen Online-Scan mit Trend Micro gemacht und beide Laufwerke durchsuchen lassen und bekam die Meldung " Number of Infections: 0. habe jetzt aber erst einmal alle Passwörter geändert und hoffe auf baldigen besuch eines Freundes, der als Systemadministrator arbeitet. Der wird mir hoffentlich weiterhelfen können. Was ich nicht schnalle:Wenn die dateien im Log auftauchten, warum sind sie dann nicht zu finden? Wann wird es das perfekte Sy stem geben für Dummies wie mich?:koch: |
Servus nochmal, maureco! Zitat:
bis dann, stupormundi |
Zitat:
Ja, habe ich eben erneut gemacht, mit allen Optionen, wie von Dir vorgegeben. Meldung nach der Suche: Die Suche ist abgeschlossen. Es liegen keine Ergebnisse vor. :headbang: |
Alle Zeitangaben in WEZ +1. Es ist jetzt 06:59 Uhr. |
Copyright ©2000-2025, Trojaner-Board