|
Problem mit Popups Hi Leute, also ich habe folgends Problem. Seit kurzem öffnen sich ohne mein zutun Browser Fenster mit allen möglichen Inhalten, z.b. Werbung von Virenscannern oder auch Fenster wo drin steht das das System gefährdet sei und man kann nur noch ok klicken worauf dann ein Download beginnt. Hab mal ein Hijack log erstellt. Weiss net mehr weiter, wär nett wenn ihr mir sagen könntet woran es liegt. p.s. sys ist Win XP sp2 Prof. Logfile of HijackThis v1.99.1 Scan saved at 18:12:58, on 18.09.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\CTHELPER.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Winamp\winampa.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\DAEMON Tools\daemon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Ashampoo\Ashampoo WinOptimizer Platinum 3\PopUpKiller.exe C:\Dokumente und Einstellungen\User\Desktop\PopupKiller.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Dokumente und Einstellungen\User\Desktop\HijackThis.exe R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e6.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\Programme\Ashampoo\Ashampoo WinOptimizer Platinum 3\PopUpKiller.exe O4 - HKCU\..\Run: [PopupKiller] C:\Dokumente und Einstellungen\User\Desktop\PopupKiller.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - O20 - Winlogon Notify: Controls Folder - C:\WINDOWS\ O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\ O20 - Winlogon Notify: SharedDlls - C:\WINDOWS\ O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\dnj6011se.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe Mfg D.M. |
mOIn Desaster Master, lasse folgende Datei O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e6.exe hier Virustotal oder hier Jotti überprüfen (kann bisschen dauern), poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei, auch wenn nichts gefunden wurde. Um deine Popup's (Look2Me) kümmern wir uns anschließend. MFG |
Moin, also die von dir angegebene Datei find ich nicht. Sie ist auf keiner Festplatte zu finden. Und was bedeutet das Look2Me hab nichts derartiges gefunden was so heisst. Danke schonmal mfg D.M. |
Hi Desaster Master, Zitat:
Zitat:
mfg Cleriker |
mOIn Desaster Master, hast du versteckte Datein sichtbar gemacht ? wenn nicht so geht's : Start --> Systemsteuerung --> Ordneroptionen --> Ansicht --> häkchen raus bei Inhalte von Systemordner anzeigen und bei Versteckte Datein und Ordner --> alle Dateien und Ordner anzeigen lassen --> Übernehmen Look2me ist dieser Eintrag wie Cleriker richtig bemerkte O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\dnj6011se.dll aber versuche erst die Datei zu finden die dir oben nannte. MFG |
Moin zusammen. Ich konnte beide Dateien nicht finden. Versteckte dateiein werden angezeigt. ich stell nochmal nen neuen HiJack log rein. Lasse gerade noch ne dll prüfen ich makier sie fett im Log. mfg D.M. Logfile of HijackThis v1.99.1 Scan saved at 16:53:53, on 19.09.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\CTHELPER.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Winamp\winampa.exe C:\Programme\DAEMON Tools\daemon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Ashampoo\Ashampoo WinOptimizer Platinum 3\PopUpKiller.exe C:\Dokumente und Einstellungen\User\Desktop\PopupKiller.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Dokumente und Einstellungen\User\Desktop\HijackThis.exe R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e6.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\Programme\Ashampoo\Ashampoo WinOptimizer Platinum 3\PopUpKiller.exe O4 - HKCU\..\Run: [PopupKiller] C:\Dokumente und Einstellungen\User\Desktop\PopupKiller.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - O20 - Winlogon Notify: App Management - C:\WINDOWS\ O20 - Winlogon Notify: Controls Folder - C:\WINDOWS\ O20 - Winlogon Notify: CSCSettings - C:\WINDOWS\system32\gpnsl3571.dll O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\ O20 - Winlogon Notify: SharedDlls - C:\WINDOWS\ O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\ O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe Hier mal die auswertung der dll Antivirus Version Update Result AntiVir 7.2.0.16 09.19.2006 no virus found Authentium 4.93.8 09.18.2006 no virus found Avast 4.7.844.0 09.19.2006 no virus found AVG 386 09.19.2006 no virus found BitDefender 7.2 09.19.2006 no virus found CAT-QuickHeal 8.00 09.18.2006 no virus found ClamAV devel-20060426 09.19.2006 no virus found eTrust-InoculateIT 23.72.128 09.19.2006 no virus found eTrust-Vet 30.3.3086 09.19.2006 no virus found DrWeb 4.33 09.19.2006 no virus found Ewido 4.0 09.19.2006 no virus found Fortinet 2.82.0.0 09.19.2006 no virus found F-Prot 3.16f 09.18.2006 no virus found F-Prot4 4.2.1.29 09.18.2006 no virus found Ikarus 0.2.65.0 09.19.2006 no virus found Kaspersky 4.0.2.24 09.19.2006 no virus found McAfee 4854 09.18.2006 no virus found Microsoft 1.1560 09.19.2006 no virus found NOD32v2 1.1762 09.19.2006 no virus found Norman 5.80.02 09.19.2006 no virus found Panda 9.0.0.4 09.18.2006 no virus found Sophos 4.09.0 09.19.2006 no virus found Symantec 8.0 09.19.2006 no virus found TheHacker 6.0.1.072 09.19.2006 no virus found UNA 1.83 09.18.2006 no virus found VBA32 3.11.1 09.19.2006 no virus found VirusBuster 4.3.7:9 09.18.2006 no virus found Aditional Information File size: 0 bytes MD5: d41d8cd98f00b204e9800998ecf8427e SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709 |
Hi nochmal, das ist ja komisch dieser Datei ist nicht mehr vorhanden. :confused: Zitat:
(den du gerade überprüfst) Hast du in der Zeit irgendwelche Dateien gelöscht, irgendwelche Scanner rüber-gejagd oder sonstige Programme ausgeführt? Den von nochdigger genannten Eintrag müsstest du doch unter "C:\\kybrdff_e6.exe " finden alles sehr seltsam heute mfg Cleriker |
Also ich hab nur spybot laufen lassen um tracking coockies loszuwerden. und die dll überprüfung hat nichts ergeben. Log hab ich in mein vorheriges post gehängt. Die popups werden immer nerviger. Danke nochmal für eure antworten. mfg D.M. |
Lade Dir eines von diesen Tools und halte Dich an die Anleitung. |
Hi @all Also so wie es aussieht hat das Programm Look2Me Destroyer mein Problem beseitigt. Hab nochmal gründlich nach diesem Eintrag gesucht "kybrdff_e6.exe", konnte aber nichts finden. Danke an alle für die hilfe :daumenhoc mfg D.M. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:44 Uhr. |
Copyright ©2000-2025, Trojaner-Board