wärend dem surfen offnet sich ständig pop up fenster Strip pocker

Begonnen von Kuppe, 01. Dezember 2004, 13:00:02 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

Kuppe

Hi leute habe seit gestern ein problem! ich habe dsl und bin immer online, habe aber nis+av, antivir, ad aware und spybot drauf. seit gestren offnet sich dann ab und zu der internet explorer von selbst und er zeigt so eine blöde strip poker seite an. wenn ich diese wegklicke öffnet sie sich nach ca. 10 min. wieder. dazu kommt das das windows security center eine meldung macht (auf englisch) und da steht sowas wie das mein system wohl von viren befallen ist, die es auf kreditkartennr. und passwörter abgesehen hat. dann öffnen sich manchmal auch fenster wo angeblich gerade mein system geprüft wird nach spyware usw und ob ich die kostenlos downloaden möchte. habe ich natürlich immer weggemacht. habe dann mal alles gescannt mit spybot findet er immer die dso expilot oder so aber der geht ja nicht weg. mit adaware hat er was gefunden 2 probleme oder so die sind aber auch schon behoben. antivir und nav findet nichts auch im abgesicherten modus nichts. jetzt weiss ich nicht wie ich das wegbekommen soll. achja das fenster öffnet sich auch wenn ich das internet kabel abgemacht habe nur das da dann steht : server nicht gefunden!
Wie bekomme ich diesen bockmist runter?
Danke euch schonmal
Gruß Kuppe

TMK

Lade dir am Besten mal HijackThis runter und poste dann den Inhalt der Logdatei hier im Forum:
http://www.spychecker.com/program/hijackthis.html
http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html

Kuppe

danke dir werde es heute abend mal ausprobieren. werde dann alles posten.
gruß Kuppe

Kuppe

Also hier mal die logfile:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\sfcver.exe
C:\WINDOWS\System32\odcfg.exe
C:\WINDOWS\System32\getdns.exe
F:\Toolz\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O15 - Trusted Zone: http://*.63.219.181.7
O15 - Trusted Zone: http://*.search-soft.net

hoffe ihr könnt damit was anfangen, och nämlich nichts  ;)
danke Gruß kuppe

Kuppe

hier mal die logfile wenn diese komische seite geöffnet ist (öffnet sich stänig von selbst!

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\sfcver.exe
C:\WINDOWS\System32\odcfg.exe
C:\WINDOWS\System32\getdns.exe
F:\Toolz\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O15 - Trusted Zone: http://*.63.219.181.7
O15 - Trusted Zone: http://*.search-soft.net

weiss zwar nicht ob da jetzt was anders ist aber ich poste es mal einfach bitte helft mir so schnell es geht!

tyco

Also da ist eigentlich nichts besonderes drin.  ::)

Es sei denn, dass Du die Seite 'http://*.63.219.181.7' und 'http://*.search-soft.net' nicht wissentlich zu Deinen 'Vertrauenswürdigen Seiten' hinzugefügt hast, dann solltest Du folgendes fixen:

O15 - Trusted Zone: http://*.63.219.181.7

O15 - Trusted Zone: http://*.search-soft.net
Bitte keine Supportanfragen per PM stellen.

Kuppe

hallo, also habe antivir nochmal scannen lassen...jetzt hat er was gefunden! die meldung lautet:
Datei: cax[1].cab
Dieses Archiv enthält eine oder mehrere infizierte Dateien!
Infizierte Dateien in Archiven werden nicht repariert odergelöscht!

was soll ich machen! dann meldet antivir eine trojanisches pferd, das ist unter lokale einstellungen/Temp... und danach öffnet sich ein fenster wo klicken sie Yes um die kostenlose software zu installieren!
man langsam ko**t mich das tierisch an!
Gruß Kuppe

gandal

         
Real Programmers code in binary

Kuppe

habe ich auch schon gemaacht, da findet er aber nichts!
gruß kuppe

tyco

Zitat von: Kuppe am 02. Dezember 2004, 18:42:54 Uhr
hallo, also habe antivir nochmal scannen lassen...jetzt hat er was gefunden! die meldung lautet:
Datei: cax[1].cab
Dieses Archiv enthält eine oder mehrere infizierte Dateien!
Infizierte Dateien in Archiven werden nicht repariert odergelöscht!

was soll ich machen! dann meldet antivir eine trojanisches pferd, das ist unter lokale einstellungen/Temp... und danach öffnet sich ein fenster wo klicken sie Yes um die kostenlose software zu installieren!


Lösche mal den Cache des Internet Explorers und leere den Temp Ordner unter lokale einstellungen/Temp.

Zusätzlich scanne und bereinige Dein System mit Spybot Search & Destroy. Letzteres hat bei mir zum Erfolg geführt.
Bitte keine Supportanfragen per PM stellen.

TMK

...und vorallem, verwende Firefox als Internetbrowser:
http://firebird-browser.de/

Kuppe

habe ich alles schon gelöscht mache ich ja fast jedes mal nach dem surfen. Lösche entweder direkt ausm explorer und unter lokale einstellungen...hat leider nicht geholfen kommt irgendwie imemr wieder der mist!

TMK

Kannst mal nen Screenshot von "Prozesse" im Windows Task-Manager machen und posten.

bigmike67

Hallo, ich "leide" unter dem selben Problem und habe gerade auf der Suche nach einer Lösung dieses Forum entdeckt. Die angesprochenen Programme und mehr (antivir, ad aware, spybot, zone alarm, cw shredder, stinger, ashampoo winoptimizer) habe ich auch, nur helfen die dieses Mal nicht wirklich weiter. Auch meine Suche im Netz war bisher wenig erfolgreich und als reiner Anwender stößt man schnell an seine Grenzen. Ich bin daher für jeden Tip dankbar. Gruss Mike

TMK

Könntest du auch das Logfile von HijackThis und auch gleich einen Screenshot von deinen aktiven Prozessen im Task-Manager posten.

bigmike67

Hallo und danke erstmal. Hier der Task Manager, ich hoffe das klappt... Wie komme ich bitte an den Hijack This? Kann das auch der ad aware leisten?


bigmike67


bigmike67

OK, und hier das Ergebnis

Logfile of HijackThis v1.97.7
Scan saved at 13:20:31, on 04.12.2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\NVATray.exe
C:\WINDOWS\TBPanel.exe
D:\Programme\AVPersonal\AVSched32.EXE
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\PROGRA~1\ASHAMP~1\PopUpKiller.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\odcfg.exe
C:\WINDOWS\System32\getdns.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Download\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.esearch.cc/s.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.schalke04.de/13_home/home.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.esearch.cc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.esearch.cc/s.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.esearch.cc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.esearch.cc/s.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - Default URLSearchHook is missing
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVSCHED32] D:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] D:\PROGRA~1\ASHAMP~1\PopUpKiller.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk.disabled
O4 - Global Startup: Adobe Gamma Loader.exe.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://D:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://D:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://D:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: http://*.search-soft.net
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {11311111-1111-1111-1111-11111121115F} - file://C:\Recycled\Q381001.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444500000000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


TMK

Würde wohl mal diese Sachen fixen:

ZitierenR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.esearch.cc/s.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.esearch.cc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.esearch.cc/s.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.esearch.cc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.esearch.cc/s.php

O15 - Trusted Zone: http://*.search-soft.net

...und falls du nicht 100% weißt was folgendes ist, auch:

ZitierenC:\WINDOWS\System32\odcfg.exe
C:\WINDOWS\System32\getdns.exe

TMK

Oh, vergessen...auch diese am Besten fixen:

ZitierenO16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {11311111-1111-1111-1111-11111121115F} - file://C:\Recycled\Q381001.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -