Popup, System sehr langsam

von **Schnorrer** am 20.12.2004, 19:02

Hallo,

Habe seit heute ein Problem, wenn ich im Internet bin bekomme ich immer wieder ein Popup (Bulleseye Offer). Weiß nicht wie ich es weg bekomme. Der Seitenaufbau ist auch sehr langsam.

Hier mein Log vom Hijack:

Logfile of HijackThis v1.98.2
Scan saved at 17:49:25, on 20.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\drivers\CDAC11BA.EXE
D:\WINDOWS\System32\cisvc.exe
D:\WINDOWS\System32\DVDRAMSV.exe
D:\WINDOWS\System32\LckFldService.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\wuauclt.exe
D:\WINDOWS\System32\nvsc32.exe
D:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
D:\WINDOWS\System32\RUNDLL32.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\ISTsvc\istsvc.exe
D:\Programme\iPod\bin\iPodService.exe
D:\WINDOWS\wbhplq.exe
C:\Program Files\Internet Optimizer\optimize.exe
D:\programme\180solutions\sais.exe
D:\Programme\BullsEye Network\bin\bargains.exe
C:\Program Files\Internet Optimizer\actalert.exe
D:\WINDOWS\byzol.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
D:\WINDOWS\system32\RAMASST.exe
D:\Programme\WinTV\Ir.exe
D:\WINDOWS\System32\exdl1.exe
D:\Programme\Web_Rebates\WebRebates1.exe
D:\Dokumente und Einstellungen\Stefan\Desktop\Virus\HijackThis.exe
D:\Programme\Web_Rebates\WebRebates0.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.auto-treff.com/bmw/userpages/SD328i.html
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - D:\WINDOWS\nem220.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - D:\WINDOWS\wsem302.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - D:\Programme\SideFind\sfbho.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - D:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - D:\PROGRA~1\ISTbar\istbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TerraTec Remote Control] D:\Programme\TerraTec\Cinergy 400 TV\TTTVRC.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "D:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "D:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [IST Service] D:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [NvCplScan] nvsc32.exe
O4 - HKLM\..\Run: [uq4RdtVx] D:\WINDOWS\wbhplq.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [sais] d:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [BullsEye Network] D:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [byzol] D:\WINDOWS\byzol.exe
O4 - HKLM\..\Run: [Power Scan] D:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [WebRebates0] "D:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\RunServices: [NvCplScan] nvsc32.exe
O4 - HKLM\..\RunOnce: [NvCplScan] nvsc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvCplScan] nvsc32.exe
O4 - HKCU\..\RunOnce: [NvCplScan] nvsc32.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: RAMASST.lnk = D:\WINDOWS\system32\RAMASST.exe
O4 - Global Startup: AutoStart IR.lnk = D:\Programme\WinTV\Ir.exe
O8 - Extra context menu item: Web Rebates - file://D:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - D:\Programme\SideFind\sidefind.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} - http://tools.ebayimg.com/eps/wl/activex ... -0-3-9.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} -
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.compani ... 3_16_0.cab

Danke für die Hilfe schonmal!
Schnorrer

von **Nikita** am 20.12.2004, 19:25

Hallo@Schnorrer

#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - D:\WINDOWS\nem220.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - D:\WINDOWS\wsem302.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - D:\Programme\SideFind\sfbho.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - D:\WINDOWS\System32\msbe.dll
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - D:\PROGRA~1\ISTbar\istbar.dll
O4 - HKLM\..\Run: [IST Service] D:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [NvCplScan] nvsc32.exe
O4 - HKLM\..\Run: [uq4RdtVx] D:\WINDOWS\wbhplq.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [sais] d:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [BullsEye Network] D:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [byzol] D:\WINDOWS\byzol.exe
O4 - HKLM\..\Run: [Power Scan] D:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [WebRebates0] "D:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\RunServices: [NvCplScan] nvsc32.exe
O4 - HKLM\..\RunOnce: [NvCplScan] nvsc32.exe
O4 - HKCU\..\Run: [NvCplScan] nvsc32.exe
O4 - HKCU\..\RunOnce: [NvCplScan] nvsc32.exe
O8 - Extra context menu item: Web Rebates - file://D:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - D:\Programme\SideFind\sidefind.dll

PC NEUSTARTEN

KillBox
http://www.bleepingcomputer.com/files/killbox.php
geh auf
<Delete File on Reboot
<Unregister .dll before deleting.”

und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

D:\WINDOWS\nem220.dll
D:\WINDOWS\wsem302.dll
D:\Programme\SideFind\sfbho.dll
D:\WINDOWS\System32\msbe.dll
D:\PROGRA~1\ISTbar\istbar.dll
D:\Programme\ISTsvc\istsvc.exe
D:\WINDOWS\wbhplq.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\Program Files\Internet Optimizer\actalert.exe
D:\Programme\BullsEye Network\bin\bargains.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\exdl1.exe
D:\Programme\Web_Rebates\WebRebates1.exe
D:\Programme\Web_Rebates\WebRebates0.exe
D:\WINDOWS\byzol.exe
D:\programme\180solutions\sais.exe
D:\Programme\SideFind\sidefind.dll
D:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
D:\Programme\Power Scan\powerscan.exe

pc neustarten
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
(F8 druecken, wenn der PC hochfaehrt und loesche:

D:\Programme\Web_Rebates
D:\programme\180solutions
D:\Programme\Power Scan
D:\Programme\SideFind
D:\PROGRA~1\ISTbar
D:\Programme\Power Scan
C:\Program Files\Internet Optimizer
D:\Programme\BullsEye Network

scanne mit:(am besten auch im abgesicherten Modus scannen)
#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

arbeite das ab:
#eScan-Erkennungstool
http://www.rokop-security.de/board/inde ... topic=3867

Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte
man nach infected suchen und die Einträge hier posten, bzw
die Dateien im abgesicherten Modus loeschen

#ClaerProg..lade die neuste Version <1.4.0 Final
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies (mit Ausschlußmöglichkeit beim IE)
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher
nur Win9x/ME)
- Download-Listen des Netscape/Opera
http://www.clearprog.de/downloads.php

gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen

und poste das neue Log
--------------------------------------------
Tip:
#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/ ... ndex1.html

von **Schnorrer** am 20.12.2004, 19:44

In meiner Registerkarte gibts den Punkt Systemwiederherstelltung nicht!
Ich weiß aber dass ich es schonmal gemacht habe. Gibts das noch woanders in windows XP?

Glaube meine ganzen systemeinstellungen sind verstellt.

von **Nikita** am 21.12.2004, 01:39

Hallo@Schnorrer

lass das erst mal beiseite , und arbeite alles andere ab. Dann sehen wir weiter.

von **Schnorrer** am 21.12.2004, 17:31

Hallo,

Hatte gestern leider keine Zeit mehr.
Die Dateinamen scheinen sich umbenannt zu haben deshalb hier nochmal der aktuelle log:

Logfile of HijackThis v1.98.2
Scan saved at 16:27:46, on 21.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\drivers\CDAC11BA.EXE
D:\WINDOWS\System32\cisvc.exe
D:\WINDOWS\System32\DVDRAMSV.exe
D:\WINDOWS\System32\LckFldService.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\wuauclt.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\msc32.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Programme\QuickTime\qttask.exe
D:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
D:\WINDOWS\System32\RUNDLL32.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\ISTsvc\istsvc.exe
D:\WINDOWS\wbhplq.exe
D:\WINDOWS\System32\msa.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
D:\Programme\iPod\bin\iPodService.exe
D:\WINDOWS\system32\RAMASST.exe
D:\Programme\WinTV\Ir.exe
D:\WINDOWS\System32\Phkfej32.exe
D:\Dokumente und Einstellungen\Stefan\Desktop\Virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.auto-treff.com/bmw/userpages/SD328i.html
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - D:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - D:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TerraTec Remote Control] D:\Programme\TerraTec\Cinergy 400 TV\TTTVRC.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "D:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "D:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [IST Service] D:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [NvCplScan] msc32.exe
O4 - HKLM\..\Run: [uq4RdtVx] D:\WINDOWS\wbhplq.exe
O4 - HKLM\..\Run: [Cryptographic Service] D:\WINDOWS\System32\gvkdm.exe
O4 - HKLM\..\Run: [Windows Media Player] msa.exe
O4 - HKLM\..\Run: [kalvsys] D:\windows\system32\kalvtsz32.exe
O4 - HKLM\..\RunServices: [Windows Media Player] msa.exe
O4 - HKLM\..\RunServices: [NvCplScan] msc32.exe
O4 - HKLM\..\RunOnce: [NvCplScan] msc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Media Player] msa.exe
O4 - HKCU\..\Run: [NvCplScan] msc32.exe
O4 - HKCU\..\RunOnce: [NvCplScan] msc32.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: RAMASST.lnk = D:\WINDOWS\system32\RAMASST.exe
O4 - Global Startup: AutoStart IR.lnk = D:\Programme\WinTV\Ir.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program

Hab jetzt schon einiges versucht, Killbox kann ich nur im abgesicherten modus starten funktioniert so im normalen modus nicht. Wenn ich mit meinem normalen rechner ans internet gehe funktioniert auch kaum noch was. Dann wird alles super langsam. Scheint wohl irgendwelche programme wählen sich irgendwo ein oder versuchen eine verbindung aufzubauen.

Hab killbox im abgesicherten modus benutzt. Hat aber nicht viel gebracht nach einem neustart ist dieses Bullseye wieder da auf D:\Programme! Im Hintergrund laufen so viele Programme die sich alle nicht beenden lassen. Ich weiß im mom nich was ich machen soll um das los zu werden. Prozessor ist daurhaft voll ausgelastet, kann ich im Task Manager sehen.

von **Schnorrer** am 22.12.2004, 17:56

Hallo!

Mein Problem besteht immer noch, Killbox und andere dinge lassen sich nicht öffnen. Nachdem ich das Netzwerkkabel anschließe funktioniert garnichts mehr. Erst wieder wenn ich das Kabel wieder trenne.

Beim beenden des PC´s erscheint ein Fenster:

Programm beenden - KKQHOOK

Hier nochmal der aktuelle log mit Hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 16:51:38, on 22.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\drivers\CDAC11BA.EXE
D:\WINDOWS\System32\cisvc.exe
D:\WINDOWS\System32\DVDRAMSV.exe
D:\WINDOWS\System32\LckFldService.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\WINDOWS\System32\Phkfej32.exe
D:\WINDOWS\System32\cidaemon.exe
D:\Programme\BullsEye Network\bin\bargains.exe
D:\WINDOWS\System32\wuauclt.exe
D:\WINDOWS\system32\cmd.exe
D:\Dokumente und Einstellungen\Stefan\Desktop\Virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.auto-treff.com/bmw/userpages/SD328i.html
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - D:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - D:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TerraTec Remote Control] D:\Programme\TerraTec\Cinergy 400 TV\TTTVRC.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "D:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "D:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Cryptographic Service] D:\WINDOWS\System32\gvkdm.exe
O4 - HKLM\..\Run: [Windows Media Player] msa.exe
O4 - HKLM\..\Run: [kalvsys] D:\windows\system32\kalvtsz32.exe
O4 - HKLM\..\RunServices: [Windows Media Player] msa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Media Player] msa.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: RAMASST.lnk = D:\WINDOWS\system32\RAMASST.exe
O4 - Global Startup: AutoStart IR.lnk = D:\Programme\WinTV\Ir.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} - http://tools.ebayimg.com/eps/wl/activex ... -0-3-9.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} -
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.compani ... 3_16_0.cab
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - D:\WINDOWS\System32\Gikkna32.dll

von **Nikita** am 22.12.2004, 20:44

Ohne Internetverbindung:

Start<Ausfuehren<cmd
kopiere rein:
regsvr32 /u c:\system32\Gikkna32.dll
klicke :enter

del D:\WINDOWS\System32\msa.exe
klicke :enter

del D:\windows\system32\kalvtsz32.exe
klicke :enter

del D:\WINDOWS\System32\gvkdm.exe
klicke :enter

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als "RESTORE.REG " auf dem Desktop speichern.

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000

[HKEY_CLASSES_ROOT\batfile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\comfile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\piffile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\regfile\shell\open\command]
@="regedit.exe \"%1\""

[HKEY_CLASSES_ROOT\scrfile\shell\config\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\scrfile\shell\open\command]
@="\"%1\" /S"

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

Die Datei "RESTORE.REG "auf dem Desktop doppelklicken.
--------------------------------------------------------------------------------------------

Start<Ausfuehren<regedit

Navegier zu folgendem Schluessel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless
loesche (falls es da ist auf der rechten Seite):
<"Client"="1"
<"ID"

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM="N" "N"--also...in "Y" aendern

HKLM\SYSTEM\ControlSet001\Control\Lsa\restrictanonymous=dword:00000001 "1" --««also....in "0" [dword:00000000] aendern

oeffne das HijackThis und fixe:-->NICHT NEUSTARTEN !!!!!!

O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - D:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - D:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll
O4 - HKLM\..\Run: [Cryptographic Service] D:\WINDOWS\System32\gvkdm.exe
O4 - HKLM\..\Run: [Windows Media Player] msa.exe
O4 - HKLM\..\Run: [kalvsys] D:\windows\system32\kalvtsz32.exe
O4 - HKLM\..\RunServices: [Windows Media Player] msa.exe
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} -
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - D:\WINDOWS\System32\Gikkna32.dll

Loesche manuell im abgesicherten Modus:
<D:\WINDOWS\System32\msa.exe
<D:\WINDOWS\System32\msc32.exe
<D:\windows\system32\kalvtsz32.exe
<D:\WINDOWS\System32\gvkdm.exe
<D:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll
<D:\WINDOWS\System32\Gikkna32.dll
<D:\Programme\BullsEye Network
<D:\WINDOWS\System32\Phkfej32.exe

Gehe wieder in den Normalmodus

Lade:
Korgo-entfernungstool:
Removaltool:
http://www.bitdefender.com/html/virusin ... 1&v_id=270

#backdoor.agent.b.removal.tool.(Symantec)
http://securityresponse.symantec.com/av ... .tool.html

#eScan-Erkennungstool
http://www.rokop-security.de/board/inde ... topic=3867

#Trend-Micro (Online)
http://de.trendmicro-europe.com/enterpr ... ll_pre.php

HijackThis/1.99 BETA Version
Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip
Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip

von **tetmor** am 10.01.2005, 18:03

Hallo Schnorrer,

ich habe das gleiche Problem! Es tritt auf, seitdem ich Kunde bei 1und1 bin und mit der beigelieferten Software den Microsoft Internet Explorer aktualisiert habe.
Ich finde speziell diese pop-up-Werbung so nervig, dass ich seitdem überwiegend den Netscape-Explorer nutze.
Habe auch noch keine Möglichkeit gefunden, das pop-up Fenster zu unterdrücken.

von **tetmor** am 15.01.2005, 01:14

So! Mich nervt das POP-UP Fenster “BullsEye Network Offer” nicht mehr!

Es ist viel einfacher, als oben beschrieben. Einfach im Verzeichnis D:\Programme\ ... das Unterverzeichnis „BullsEye Network” löschen! Sonst nix!
Bei mir funktioniert es jedenfalls seit 4 Tagen auf diese weise.

Popup, System sehr langsam

Popup, System sehr langsam

BullsEye Network Offer

BullsEye Network Offer

Ähnliche Themen

Wer ist online?