Aufgehende IE-Fenster

Hallo,
Ich habe hier scheinbar etwas Virusartiges…
Vor einer Woche oder so meldete die Windoof-Firewall, dass ein Programm namens „brbrab“ (oder so ähnlich, nachdem Google dazu nichts fand habe ichs mir nicht notiert) geblockt wurde; ich hab „weiterhin blocken“ angeklickt.
Naja, ungefähr seitdem gehen in unregelmäßigen Abständen, alle 2 bis 15 Minuten, Internet-Explorer-Fenster ungefragt auf, mit Seiten wie www.perfspot.com/join.asp?p=80247&t=intermarkmedia und gifts.freepay.com/Default.aspx?N=1&amp:stuck_out_tongue_winking_eye:=240 [Scheinbar irgendwelche Werbeseiten], scheinbar nach einer Weiterleitung; als es grade ein bisschen langsamer ging hab ich die erste Adresse rauskopiert: http://url.cpvfeed.com/cpv.jsp?p=110830&ip=91.65.239…
Danach ging es weiter zu:
http://affiliates.copeac.com/geo_tracking_redirect.h…
Und dann scheinbar http://publishers.clickbooth.com/geo_tracking_redire…

Ich hab Windows XP, und nehm normalerweise Mozilla, erst seit auch ca. einer Woche muss ich abund zu den IE nehmen für eine Seite die sich mit Mozilla nicht darstellen lassen will.
Was soll das? Ich finde in Google nichts zu den Adressen. Wie krich ich das weg?

Liebe Grüße,
Giogio

Hi Amöbe!

Lad dir folgende Programme runter:

o Spybot and Destroy … sowie
o Adaware 2007 …

Sind beide Freeware und meiner Meinung nach einfach nur spitzenmäßig was die Vernichtung solcher Störenfriede anbelangt.

Greez - PN

Hallo,
Danke, damit werd ichs mal probieren.

Ich kopier unten mein hijack.log rein, evtl. sagen die Meldungen hier jemandem mehr als mir…
Liebe Grüße!
Amoeba

Logfile of HijackThis v1.99.1
Scan saved at 17:35:24, on 11.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Privoxy\privoxy.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\Programme\VideoLAN\VLC\vlc.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\APPATC~1\iexplore.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\retadpu.exe
C:\WINDOWS\retadpu.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\retadpu.exe
C:\WINDOWS\retadpu.exe
C:\WINDOWS\retadpu.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\WINDOWS\retadpu.exe
C:\Dokumente und Einstellungen\Giogio\Anwendungsdaten\Microsoft\Windows\rayiou.exe
C:\Dokumente und Einstellungen\Giogio\Anwendungsdaten\WinTouch\WinTouch.exe
C:\WINDOWS\system32\dwwin.exe
C:\Dokumente und Einstellungen\Giogio\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8118
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu6D\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu6D\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {166B1B83-DA61-89BD-1C11-898DCB5087C3} - C:\WINDOWS\system32\mkjkmj.dll
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - c:\windows\system32\rdsaddin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu6D\toolbaru.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM…\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM…\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM…\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM…\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM…\Run: [CloneCDElbyCDFL] „C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe“ /L ElbyCDFL
O4 - HKLM…\Run: [DAEMON Tools] „C:\Programme\DAEMON Tools\daemon.exe“ -lang 1033
O4 - HKLM…\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM…\Run: [TkBellExe] „C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe“ -osboot
O4 - HKLM…\Run: [SunJavaUpdateSched] „C:\Programme\Java\jre1.6.0_01\bin\jusched.exe“
O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM…\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM…\Run: [QuickTime Task] „C:\Programme\QuickTime\qttask.exe“ -atboottime
O4 - HKLM…\Run: [runner1] C:\WINDOWS\retadpu420.exe 61A847B5BBF72816309B284503996897C881250221C8670836AC4FA7C88332017491394662EA4EBF968951185EFC412806867680AEC1775663CF781376FB11FD97CB77
O4 - HKCU…\Run: [Vidalia] „C:\Programme\Vidalia\vidalia.exe“
O4 - HKCU…\Run: [MsnMsgr] „C:\Programme\MSN Messenger\MsnMsgr.Exe“ /background
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [WinPop] C:\Programme\WinPop\winpop.exe
O4 - HKCU…\Run: [Ueao] „C:\PROGRA~1\APPATC~1\iexplore.exe“ -vt yazb
O4 - HKCU…\Run: [Rpdjks] C:\Programme?racle\n?tepad.exe
O4 - HKCU…\Run: [WinTouch] C:\Dokumente und Einstellungen\Giogio\Anwendungsdaten\WinTouch\WinTouch.exe
O4 - HKCU…\Run: [SfKg6w] C:\Dokumente und Einstellungen\Giogio\Anwendungsdaten\Microsoft\Windows\rayiou.exe
O4 - HKCU…\RunOnce: [SWHelper] „C:\WINDOWS\system32\Macromed\Shockwave 10\PostUpdate.exe“ 1014020
O4 - HKCU…\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Privoxy.lnk = C:\Programme\Privoxy\privoxy.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra ‚Tools‘ menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra ‚Tools‘ menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra ‚Tools‘ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip…{B3920F99-14CA-463F-A0D1-18E6CB320EEA}: NameServer = 192.168.0.99
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O21 - SSODL: system32 - {84F0FFE1-AC10-4FAE-9343-F18346F09618} - sysprinters.dll (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

Hi!
Es gibt ein Plugin für den Firefox, mit dem du Seiten mit der Engine vom IE öffnen kannst, aber in Firefox verbleibst. Es nennt sich IE Tab und ist über www.erweiterungen.de downzuloaden. Sollte das nicht klappen, einfach googlen.
Gruß, Marten

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hallo,

Also es sieht so aus als wenn du mehrere Probleme auf deinem Pc hast.

Lade folgende Dateien doch einmal bei http://www.virustotal.com/ hoch:

C:\WINDOWS\retadpu.exe

C:\Dokumente und Einstellungen\Giogio\Anwendungsdaten\Microsoft\Windows\rayiou.exe

C:\Dokumente und Einstellungen\Giogio\Anwendungsdaten\WinTouch\WinTouch.exe

c:\windows\system32\rdsaddin.dll

C:\WINDOWS\retadpu420.exe

Poste nachher die Ergebnisse hier.

Gruss,

Janis Mohr

Hi Amöbe

du hast den Trojaner retadpu auf deinem PC

Beschreibung hier:
http://fileinfo.prevx.com/spyware/QQd16d92591806-RET…

Kleiner Auszug, was er bewerkstelligen kann:
-installiert Programme (und bestimmt keine guten)
-löscht Programme
-ruft dll-Dateien auf
-erstellt Run Keys.
-ruft andere Programme auf
-kommuniziert mit Webseiten mittels httpout Protokoll.
-modifiziert laudende Prozesse
-produziert bekannte Malware
-macht Kopien von sich selbst
und dreht den meisten A-Vir-Progis eine lange Nase.
Sogar wenn A-Virenprogis einen Teil davon erwischen, weisst du nicht, wieviel andere Malware er schon heruntergeladen hat und wo er sich überall kopiert hat

Deshalb:

einzige Abhilfe: PC plattmachen, Win neu installieren

Tipps: http://www.comsafe.de/neuinstallation.html

Gruss
ExNicki

httpout?
Hallo ExNicki.

Das einzig wirklich coole und außergewöhnliche daran ist, dass er den Virtual Memory anderer Prozesse modifizieren kann. Das ist natürlich der Hammer. Alles andere kann jedes Programm mit weißer Weste auch.

Was ich mich aber frage: Kann es sein, dass es ein Protokoll mit dem Namen httpout nicht gibt?

vielen Dank.

Hallo,
Danke für eure Hilfe.
Ich hab ihn nun doch ohne große Neu-Windoows-Installation losbekommen, von Hand alle exe’s die seit Auftauchen des Viehs geändert wurden gelöscht (und hoffentlich nichts wichtiges mit verschwinden lassen)… scheint geklappt zu haben.
Liebe Grüße,
Giogio