craax

Hii zusammen

Hab jetzt etliche foren durchforstet, aber leider bis jetzt nicht wirklich was gefunden was mir hilft.
hab seit einigen tagen diese ultra fiesen **** popups von ad.firstsolution.. jedesmal wenn ich aufs internet zugreife, ob über browser oder beim zocken, öffnen sich diese popups, und der rechner läuft ultra low -.-

hab schon jenste virenprogramme laufen lassen, antivir, panda, etliche malware "möchtegern-entferner" wie spybot search&destroy, ad-aware, viele online virentests laufen lassen etc etc.... und nun weis ich echt nich mehr weiter.

Systemwiederherstellung kann ich vergessen, da keine systemprüfpunkte vorliegen an denen der rechner noch "in ordnung" war.

ich hoffe seehr, einer von Euch kann mir hier helfen, wäre echt froh..!

hier noch die HijackThis-Logfile


Logfile of HijackThis v1.99.1
Scan saved at 11:02:59, on 14.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\Programme\Panda Software\Panda Antivirus 2007\pavsrv51.exe
C:\Programme\Panda Software\Panda Antivirus 2007\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Acer\Acer eConsole\MediaServerService.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Programme\Acer\Acer eMode Management\AspireService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Acer\Acer eConsole\MediaSync.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Panda Software\Panda Antivirus 2007\PsImSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908. 5008\GoogleToolbarNotifier.exe
C:\Programme\Panda Software\Panda Antivirus 2007\apvxdwin.exe
c:\programme\panda software\panda antivirus 2007\WebProxy.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Xfire\xfire.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Panda Software\Panda Antivirus 2007\psimreal.exe
C:\DOKUME~1\crAx\LOKALE~1\Temp\Rar$EX00.703\Hijack This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {60BF5EE3-0105-4858-AD98-17C19F86B042} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {55FAF0F2-44D4-425F-B5F5-6B275B621EAB} - (no file)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [ntiMUI] c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [AspireService] C:\Programme\Acer\Acer eMode Management\AspireService.exe
O4 - HKLM\..\Run: [MediaSync] C:\Programme\Acer\Acer eConsole\MediaSync.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NounListOnlineCity] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\softwarelognounlist\Dart bird.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908. 5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MealTest] C:\DOKUME~1\crAx\ANWEND~1\MEDIAS~1\audio loud plan.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...07/mcfscan.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O23 - Service: Acer Media Server - Acer Inc. - C:\Programme\Acer\Acer eConsole\MediaServerService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Software\Panda Antivirus 2007\pavsrv51.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Programme\Panda Software\Panda Antivirus 2007\PsImSvc.exe



für mich nur fachchinesisch ^^ -.-

bin nich so der crack, was dies anbelangt.....


ich danke den lesern für die investierte zeit..

MfG crAax

EazyE

Hi,
du kannst deinen Hijackthis Log auf hijackthis.de auswerten.
Ich hab das mal für dich gemacht. Auffällige Einträge sind:

O2 - BHO: (no name) - {60BF5EE3-0105-4858-AD98-17C19F86B042} - (no file)

O3 - Toolbar: (no name) - {55FAF0F2-44D4-425F-B5F5-6B275B621EAB} - (no file)


Die solltest du fixen/löschen.
Außerdem sind folgende Einträge als Unbekannt eingestuft, ich kann damit leider nicht viel anfangen. Aber vll. erkennst du die Programme in dem Eintrag wieder. Wenn nicht, solltest du diese Einträge auch löschen.

O4 - HKLM\..\Run: [NounListOnlineCity] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\softwarelognounlist\Dart bird.exe

O4 - HKLM\..\Run: [NounListOnlineCity] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\softwarelognounlist\Dart bird.exe



Lad dir anschließend Ad-Aware oder Spybot Search and Destroy runter, scan dein System durch und lösch die gefundenen Einträge.

craax

erstmal danke vielmals für deine Hilfe, und deine Zeit!






aber.... wie find ich diese pfade? über c/dokumente und einstellungen/all user etc. find ich die nicht.

muss ich die im abgesicherten modus suchen? ein programm brauch ich ja nicht dafür oder?


hab damit leider keine erfahrung

sry für mein nicht-wissen ^^ -.-

mfg

EazyE

Hi,
ne, du musst die über Hijackthis löschen. Du machst einfach wieder nen System-Scan mit dem Programm, setzt nen Haken vor die entsprechenden Einträge und klickst dann auf "fix checked".

craax

hi


oke dankeschön.

hab die einträge gelöscht, und scan nun mit ad-aware meinen rechner.


sollten jetzt schon keine popups mehr aufgehen? oder erst danach?


mfg

craax

also..... ad-aware hat 5 tracking-cookies gefunden.

hab diese gelöscht, doch die popups kommen noch immer...

tracking-cookies haben ja nichts mit adware gemeinsam oder?


was mach ich nun?

blick nich durch

EazyE

hm... versuch das ganze mal im abgesicherten modus nochmal... also mit hijackthis das logfile erstellen, falls die einträge wieder da sein sollten, wieder löschen und dann im abgesicherten modus nochmal mit adaware scannen.
Falls das nicht klappt, versuchs mal mit Spybot S&D.


EDIT:

Damit müsste es klappen:
http://siri.urz.free.fr/Fix/SmitfraudFix_De.php

craax

hi

schon wieder ein problem.

ich sitz ja hier nich an meinem rechner, aber sollte ja trozdem wie an meinem rechner mit F8 in den abgesicherten modus starten können. hab dies 3 mal versucht, gleich beim aufstarten, noch bevor das windows anzeigebild kommt.

nix geht...

und bei dem programm

http://siri.urz.free.fr/Fix/SmitfraudFix_De.php

muss ja der abgesicherte modus aktiviert sein.


tut mir echt leid, für die viele zeit die ich dir raub ^^

mfg

EazyE

Welches Betriebssystem ist denn drauf? Eigentlich müsste das mit F8 gehen, ansonsten mit F5.

craax

windows XP home is hier drauf...... und bei XP ist ja F8 die taste um id den abgesicherten modus zu starten.

wenn ich diese drücke, startet aber der rechner ganz normal

den unterschied sollte man doch merken, oder?