unerwünschte Pop-ups

NewHaven_f95e3e · 26. August 2008 um 18:00

Hallo zusammen,

ich benötige bei folgender Sache eure Hilfe:

Seit ein paar Tagen öffnen sich reglmäßig unerwünschte Pop-Ups auf meinem Desktop. Jedes mal sind es andere Firmen, deren Werbung zu sehen ist. Auch bekannte Firmen.

Das Problem ist, dass diese Pop-ups sowohl bei offenem I-Net-Explorer als auch bei geschlossenem kommen.

Hat jemand einen Tipp (Anfänger-verständlich ), wie ich das ganze wieder loswerde, ohne gleich die Festplatte zu formatieren?! Vielen Dank

ExNicki_99e239 · 26. August 2008 um 19:54

Hi

Seit ein paar Tagen öffnen sich reglmäßig unerwünschte Pop-Ups
auf meinem Desktop. Jedes mal sind es andere Firmen, deren
Werbung zu sehen ist. Auch bekannte Firmen.
Hat jemand einen Tipp (Anfänger-verständlich ), wie ich
das ganze wieder loswerde, ohne gleich die Festplatte zu
formatieren?! Vielen Dank

noch nicht. erst müssen wir wissen, um welches Progi es sich handelt.
Hört sich nach einem Browser-hijacker an. Manche davon lassen sich tatsächlich nur durch Neuinstallation vertreiben.
Saug dir mal hijackthis, mach einen scann damit und poste das Logfile hier oder mail mir es zu.

Gruss
ExNicki

NewHaven_f95e3e · 27. August 2008 um 18:28

Hier das resultat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:22:33, on 27.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\keyhook.exe
C:\WINDOWS\system32\sistray.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Nero\NEROPH~1\data\xtras\mssysmgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\0YHoOT8l.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEENUS/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {99C6D1BB-7555-474C-91DA-D8FB62A9CC75} - (no file)
O4 - HKLM…\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM…\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM…\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM…\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM…\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM…\Run: [SSBkgdUpdate] „C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe“ -Embedding -boot
O4 - HKLM…\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM…\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM…\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM…\Run: [SetDefPrt] C:\Programme\Brother\Brmfl06a\BrStDvPt.exe
O4 - HKLM…\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM…\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM…\Run: [SunJavaUpdateSched] „C:\Programme\Java\jre1.6.0_07\bin\jusched.exe“
O4 - HKLM…\Run: [QuickTime Task] „C:\Programme\QuickTime\qttask.exe“ -atboottime
O4 - HKLM…\Run: [TkBellExe] „C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe“ -osboot
O4 - HKLM…\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [ccleaner] „C:\Programme\CCleaner\ccleaner.exe“ /AUTO
O4 - HKCU…\Run: [Nero PhotoShow Media Manager] C:\PROGRA~1\Nero\NEROPH~1\data\xtras\mssysmgr.exe
O4 - HKCU…\Run: [Philips Intelligent Agent] NOT_IN_USE_DUMMY_PATH
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‚LOKALER DIENST‘)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‚NETZWERKDIENST‘)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‚SYSTEM‘)
O4 - HKUS\S-1-5-18…\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9e.exe (User ‚SYSTEM‘)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‚Default user‘)
O4 - HKUS.DEFAULT…\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9e.exe (User ‚Default user‘)
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra ‚Tools‘ menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‚Tools‘ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra ‚Tools‘ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4EFA317A-8569-4788-B175-5BAF9731A549} (Microsoft Virtual Server VMRC Advanced Control) - http://www.windowsvistatestdrive.com/ActiveX/VMRCAct…
O18 - Filter hijack: text/html - (no CLSID) - (no file)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

–
End of file - 6312 bytes

ExNicki_99e239 · 27. August 2008 um 20:57

Hi again

Hier das resultat:

C:\WINDOWS\system32\0YHoOT8l.exe

sehr verdächtig

lad die Datei mal zu einem online-Virenscanner hoch, zB
http://virusscan.jotti.org/de/
und erzähl uns, was der so sagt

Gruss
ExNicki

Chewpapa_22ca98 · 27. August 2008 um 21:44

Hi Exnicki,

Hört sich nach einem Browser-hijacker an.

nicht nach ‚Nachrichtendienst‘? Die Fenster gehen ja auch auf, wenn der Browser geschlossen ist.

@NewHaven:
Egal ob das die Ursache ist, den Nachrichtendienst brauchst Du nicht, kannst Du beenden. Systemsteuerung -> Verwaltung -> Dienste: Nachrichtendienst. Der macht nur in einer Domain Sinn, daß der Admin der Belegschaft etwas mitteilen kann, z.B. daß er beabsichtigt den Server neu zu starten o.ä.

Wenn das Dein Problem löst, ist es ja gut.
ExNickis Warnung musst Du trotzdem ernst nehmen.

Gruß Rainer

ExNicki_99e239 · 27. August 2008 um 21:49

Hi Rainer,

Hört sich nach einem Browser-hijacker an.

nicht nach ‚Nachrichtendienst‘? Die Fenster gehen ja auch auf,
wenn der Browser geschlossen ist.

stimmt. das hatte ich übersehen. Aber so oder so: ein Eindringling ist es schon

Gruss
ExNicki

Chewpapa_22ca98 · 27. August 2008 um 22:21

Hi ExNicki,

Aber so oder so: ein Eindringling ist es schon

sicher. Das sollte ja auch nur eine Ergänzung sein.
Sonst denkst Du noch, mich gibt’s nicht mehr.

Gruß Rainer

NewHaven_f95e3e · 31. August 2008 um 20:40

also von den 20 Programmen haben 10 angeschlagen, dass es sich um eine malware, trojaner etc. handelt

Genügt das löschen der Datei? Oder muss man noch andere „Spuren“ beseitigen?

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

ExNicki_99e239 · 31. August 2008 um 21:00

also von den 20 Programmen haben 10 angeschlagen, dass es sich
um eine malware, trojaner etc. handelt

etas präziser wäre nicht schlecht gewesen

Genügt das löschen der Datei? Oder muss man noch andere
„Spuren“ beseitigen?

ja, eigentlich schon. Wenn es sich um einen Trojaner handelt, darfst du format c: machen und Windows neu installieren.

Trojaner haben zum einzigen Zweck, sich einzunisten und andere Malware nachzuladen und natürlich sich selbst zu verbreiten.
D.h. selbst wenn du den Trojaner killst, weisst du nicht, was er schon alles an Malware nachgeladen hat und welche davon schon aktiv ist. Kann sein, dass deine Passwörter schon ausgespäht sind, dass dein PC schon für DoS-Attacken oder SPAM-Verbreitung missbraucht wird.
Da hilft nur noch Platte glattbügeln und Win neu installieren.
Deine (nicht ausführbaren!) Daten kannst du noch in Sicherheit bringen, aber keine Mails mit Attachment, keine exe-Dateien usw.

Gruss
ExNicki