Mal wieder das Thema nervige Pop-Ups!

[candj]

Hallo alle zusammen. Ich bin ganz neu hier, weil ich auch von diesen nervigen Pop-Ups (vor allem Kasino- und Adultfriend-Werbung usw.) befallen werde.

Da ich wirklich nur reiner PC-Anwender bin, habe ich wirklich nicht viel Ahnung, vom Innenleben meines PC’s. Deshalb wäre ich echt dankbar, wenn ihr mir die Schritte, die ich machen muss erklärt, als ob ich blond wäre. Tausend Dank schon im Voraus!!!

Hier mal mein hijackthis-log (hab ich auch nur unter Anleitung von anderen Forumsbeiträgen hinbekommen):


Logfile of HijackThis v1.99.1
Scan saved at 16:23:19, on 01.01.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\HanseNet\Alice\app\TangoService.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\system32\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\internat.exe
C:\Programme\Shareaza\Shareaza.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
c:\progra~1\intern~1\iexplore.exe
C:\PROGRA~1\HanseNet\Alice\app\TangoManager.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\unzipped\hijackthis[1]\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/def ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/def ... .yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/def ... .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/def ... .yahoo.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3977F4F8-CDA7-F3AF-71BC-4D64E532758E} - C:\DOKUME~1\Cindy\ANWEND~1\DOGNAM~1\New Vga.exe
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1601.0\de\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TangoManager] C:\PROGRA~1\HanseNet\Alice\app\TANGOM~1.EXE
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Frag delete blue axis] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\drive bash frag delete\MIX BALM.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Programme\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [ENC BITS] C:\DOKUME~1\Cindy\ANWEND~1\32STYL~1\Save Deaf Acid.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\WINNT\system32\shdocvw.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\WINNT\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\WINNT\system32\shdocvw.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {17D72920-7A15-11D4-921E-0080C8DA7A5E} (AimSp32 Class) - http://www.makeoversolutions.com/save/makeover.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = mapower
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F931EB6-594A-4779-962D-B70714F2B957}: NameServer = 213.191.92.84 213.191.74.12
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = mapower
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = mapower
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Tango Service (TangoService) - Unknown owner - C:\Programme\HanseNet\Alice\app\TangoService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

[Nikita]

lade: lopxp.zip
http://virus-protect.net/artikel/tools/lopxp.zip
http://virus-protect.net/artikel/tools/lop.html
doppelkick: lopxp.bat
kopiere ab, was im Texteditor erscheint


----------------

C:\Dokumente und Einstellungen\Cindy\Anwendungsdaten\DOGNAM...
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\drive bash frag delete
C:\Dokumente und Einstellungen\Cindy\Anwendungsdaten\32STYL..

Programme\Free Download Manager

[candj]

lade: lopxp.zip
http://virus-protect.net/artikel/tools/lopxp.zip
http://virus-protect.net/artikel/tools/lop.html
doppelkick: lopxp.bat
kopiere ab, was im Texteditor erscheint

Das stand im Texteditor:

Rapport fait à 17:38:00,40 le So 01.01.2006

******************************************
Recherche des taches planifiées dans C:\WINNT\tasks

Datentr„ger in Laufwerk C: ist Windows 2000
Datentr„gernummer: 3CE6-B606

Verzeichnis von C:\WINNT\Tasks

29.12.2005 02:40 260 AF93C1A593E8754D.job
02.10.2005 17:26 396 1-Klick-Wartung.job
08.10.2003 09:34 6 SA.DAT
08.10.2003 09:34 65 desktop.ini
08.10.2003 09:34 <DIR> ..
08.10.2003 09:34 <DIR> .
4 Datei(en) 727 Bytes
2 Verzeichnis(se), 9.303.871.488 Bytes frei

******************************************
Recherche dans Program files

Le dossier C:\Programme\C2Media n'existe pas

*************** Fin du rapport ****************


----------------

C:\Dokumente und Einstellungen\Cindy\Anwendungsdaten\DOGNAM...
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\drive bash frag delete
C:\Dokumente und Einstellungen\Cindy\Anwendungsdaten\32STYL..

Programme\Free Download Manager

Was muss ich mit den Dateien machen?

[Nikita]

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {3977F4F8-CDA7-F3AF-71BC-4D64E532758E} - C:\DOKUME~1\Cindy\ANWEND~1\DOGNAM~1\New Vga.exe
O4 - HKLM\..\Run: [Frag delete blue axis] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\drive bash frag delete\MIX BALM.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Programme\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [ENC BITS] C:\DOKUME~1\Cindy\ANWEND~1\32STYL~1\Save Deaf Acid.exe
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm
O16 - DPF: {17D72920-7A15-11D4-921E-0080C8DA7A5E} (AimSp32 Class) - http://www.makeoversolutions.com/save/makeover.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab

PC neustarten

loeschen:
C:\Dokumente und Einstellungen\Cindy\Anwendungsdaten\DOGNAM...
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\drive bash frag delete
C:\Dokumente und Einstellungen\Cindy\Anwendungsdaten\32STYL.


Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

%systemdrive%
cd C:\WINNT\Tasks
attrib -r -s -h AF93C1A593E8754D.job
del AF93C1A593E8754D.job

- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal


stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.net/cleanup.html

scanne mit Panda und kopiere hier den scanreport
http://virus-protect.net/onlinescan.html

[candj]

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {3977F4F8-CDA7-F3AF-71BC-4D64E532758E} - C:\DOKUME~1\Cindy\ANWEND~1\DOGNAM~1\New Vga.exe
O4 - HKLM\..\Run: [Frag delete blue axis] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\drive bash frag delete\MIX BALM.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Programme\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [ENC BITS] C:\DOKUME~1\Cindy\ANWEND~1\32STYL~1\Save Deaf Acid.exe
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm
O16 - DPF: {17D72920-7A15-11D4-921E-0080C8DA7A5E} (AimSp32 Class) - http://www.makeoversolutions.com/save/makeover.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab

PC neustarten

Habe ich gemacht!

loeschen:
C:\Dokumente und Einstellungen\Cindy\Anwendungsdaten\DOGNAM...
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\drive bash frag delete
C:\Dokumente und Einstellungen\Cindy\Anwendungsdaten\32STYL.

Ich kann die Daten nicht finden, sind die irgendwie "versteckt"?

[candj]

Ich kann die Daten nicht finden, sind die irgendwie "versteckt"?

Okay, musste die Ordneroption ändern!

[candj]

[stelle den Cleaner genauso ein, wie hier angegeben:[/b]
http://virus-protect.net/cleanup.html

Ich kann bei den CleanUp-Options den Punkt "Delete Prefetch Files" nicht anklicken. Das Feld ist grau hinterlegt!

[Nikita]

Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

[Holy Marcell]

Sollte das nicht klappen lösche die Dateien manuell:

C:\Windows\prefetch\

Alles markieren ==> Rechtsklick auf eine ==> Umbenennen ==>

pf(1)

eingeben ohne Endung ==> Enter.
Die Dateien sollten alle umbenannt worden sein. Lösche sie jetzt.

[candj]

Also mit den Prefetch habe ich irgendwie nichts gefunden unter C:\Windows\prefetch... Aber ich habe mal den Scan mit Panda gemacht und hier mein Report:

Incident Status Location

Adware:adware/wupd Not desinfected C:\WINNT\DOWNLOADED PROGRAM FILES\MediaGatewayX.dll
Adware:Adware/Lop Not desinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\New Vga.exe.q_3FA63CA6_q
Adware:Adware/Lop Not desinfected C:\unzipped\hijackthis\backups\backup-20060101-180343-972.dll
Adware:Adware/PortalScan Not desinfected C:\WINNT\Downloaded Program Files\aun_0011.exe
Adware:Adware/WUpd Not desinfected C:\WINNT\Downloaded Program Files\MediaGatewayX.dll

[Nikita]

Schritt
KILLBOX - Pocket KillBox
http://virus-protect.net/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\New Vga.exe.q_3FA63CA6_q
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
C:\unzipped\hijackthis\backups\backup-20060101-180343-972.dll
C:\WINNT\Downloaded Program Files\aun_0011.exe
C:\WINNT\Downloaded Program Files\MediaGatewayX.dll

PC neustarten

loeschen:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan


dann scanne noch mal mit Panda

[candj]

Und wieder das Ergebnis vom Scan!


Incident Status Location

Adware:Adware/PortalScan Not desinfected C:\!KillBox\aun_0011.exe
Adware:Adware/Lop Not desinfected C:\!KillBox\backup-20060101-180343-972.dll
Adware:Adware/WUpd Not desinfected C:\!KillBox\MediaGatewayX.dll
Adware:Adware/Lop Not desinfected C:\!KillBox\New Vga.exe.q_3FA63CA6_q

[Nikita]

loesche manuell:

C:\!KillBox\aun_0011.exe
C:\!KillBox\backup-20060101-180343-972.dll
C:\!KillBox\MediaGatewayX.dll
C:\!KillBox\New Vga.exe.q_3FA63CA6_q

scanne mit:
Online Spyware Detector (Zone Labs)
http://virus-protect.net/antispytools.html

und poste den scanreport

[candj]

Das kam bei dem letzten Scan raus:


AlexaToolbar - Browser Plugin

RegistryKey - HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{C95FE080-8F5D-11D2-A20B-00AA003C157A}\

RegistryKey - HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\{C95FE080-8F5D-11D2-A20B-00AA003C157A}



Com - 3rd Party Cookie

URL - Cookie:cindy@com.com/



Doubleclick - 3rd Party Cookie

URL - Cookie:cindy@doubleclick.net/

[Holy Marcell]

Hi,

damit sollte dein PC sauber sein.