Pop up Programm-wo ist es versteckt?

Dieses Thema Pop up Programm-wo ist es versteckt? im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von Hodalump, 6. Mai 2005.

Thema: Pop up Programm-wo ist es versteckt? Hallo an alle Freaks, lese schon lange im Forum mit und habe jetzt leider Grund, auch selber zu posten: Auf meinem...

  1. Hallo an alle Freaks,

    lese schon lange im Forum mit und habe jetzt leider Grund, auch selber zu posten: Auf meinem Rechner hat sich ein Pop-Up Programm eingenistet und ich finde es nicht.
    Hier das HiJack Log:

    Logfile of HijackThis v1.99.1
    Scan saved at 14:00:48, on 05.05.2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\SYSTEM32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\brsvc01a.exe
    C:\WINDOWS\System32\brss01a.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\Programme\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Programme\Microsoft Works\WksSb.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\Programme\QuickTime\qttask.exe
    C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
    C:\Programme\T-DSL Business\BOLog.exe
    C:\Programme\Palm\AlarmApp.exe
    C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
    C:\WINDOWS\DvzCommon\DvzMsgr.exe
    C:\Programme\Palm\HOTSYNC.EXE
    C:\WINDOWS\sllights.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\WINDOWS\explorer.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: PreispiratenSearchURL - {0B660087-931C-4056-A04F-0423890E40B6} - C:\Programme\Preispiraten\Preispiraten2\PPSearchURL.dll
    O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
    O2 - BHO: metaspinner media GmbH - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\Programme\Preispiraten\Preispiraten2\IEButtonAmazonInterface.dll
    O2 - BHO: metaspinner media GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Preispiraten\Preispiraten2\IEButtonEBayInterface.dll
    O2 - BHO: metaspinner media GmbH - {D3AA56A9-8137-4950-A6F9-D0190A82AF2A} - C:\Programme\Preispiraten\Preispiraten2\IEButtonPPInterface.dll
    O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
    O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
    O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
    O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
    O4 - HKLM\..\Run: [BusinessOnline Log] C:\Programme\T-DSL Business\BOLog.exe
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - HKLM\..\Run: [checkrun] C:\windows\system32\eliteroe32.exe
    O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
    O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
    O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
    O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Alarm Manager.LNK = C:\Programme\Palm\AlarmApp.exe
    O4 - Global Startup: BTTray.lnk = ?
    O4 - Global Startup: Dataviz Messenger.lnk = C:\WINDOWS\DvzCommon\DvzMsgr.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\Preispiraten2\\preispiraten.html
    O8 - Extra context menu item: amazon Suche - C:\Programme\Preispiraten\Preispiraten2\Searchamazon.htm
    O8 - Extra context menu item: amazon Suche starten - C:\Programme\Preispiraten\Preispiraten2\Searchamazon.htm
    O8 - Extra context menu item: eBay - Mein eBay - C:\Programme\Preispiraten\Preispiraten2\SearchEbaymein.htm
    O8 - Extra context menu item: eBay - Powersuche - C:\Programme\Preispiraten\Preispiraten2\SearchEbaypower.htm
    O8 - Extra context menu item: eBay - Startseite - C:\Programme\Preispiraten\Preispiraten2\SearchEbay.htm
    O8 - Extra context menu item: eBay Suche starten - C:\Programme\Preispiraten\Preispiraten2\SearchEbay.htm
    O8 - Extra context menu item: Google Suche - C:\Programme\Preispiraten\Preispiraten2\SearchGoogle.htm
    O8 - Extra context menu item: Google Suche starten - C:\Programme\Preispiraten\Preispiraten2\SearchGoogle.htm
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
    O9 - Extra button: Preispiraten 2.5 - {2638A03E-1669-43BE-8119-B47087629A7F} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
    O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    O9 - Extra->Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
    O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
    O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
    O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2BB7CC59-66B4-4606-BEBD-9895C42445B5}: NameServer = 130.244.127.161 130.244.127.169
    O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
    O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

    Wäre toll, wenn Ihr mir den/die Übeltäter nennen könntet, damit ich den Mist endlich loswerde.
    Danke, Sonja
     
  2. Hi,

    das hier ist deine Auswertung:

    http://www.hijackthis.de/logfiles/169e796bdf91a73692727e5bae3201d9.html

    Du solltest im abgesicherten Modus die als böse erkannten Einträge fixen und evtl. dazugehörige Dateien von Hand löschen!

    Ausserdem unbedingt Hijackthis in einem separaten Ordner entpacken und ausführen. (Deines liegt in einem temporären Ordner)
    Ausserdem alle Anwendungen ausser! Hijackthis schliessen. Bei dir waren während des Scannens mehrere Anwendungen offen, insbesondere der Internet Explorer.

    Viel Erfolg.
     
  3. Thanx @ Dakota für die schnelle Zusendung der Auswertung.
    Leider war´s mit dem Fixen der gefährlichen Dateien per Hijack nicht ganz getan; irgendwie hat sich der grösste Übeltäter bei jedem neuen Hochfahren wieder selbst geladen.

    Bei mir wars immer der Eintrag:

    O4 - HKCU\..\Run: [checkrun] C:\windows\system32\eliteroe32.exe

    Habe dann bei meiner Internetsuche nach eliteroe32 einen Verweis auf ein englisches Forum bekommen:

    http://www.thetechguide.com/forum/lofiversion/index.php/t16034.html

    Und in diesem Beitrag war der Verweis auf den Elite Toolbar Remover, denn die besagte Toolbar war wohl der Pop Up Dauerübeltäter.

    Download des Removers auf folgender Seite möglich:

    http://www.majorgeeks.com/download4465.html


    Bitte nur im abgesicherten Modus machen; ich habe es zuerst normal versucht - funktioniert nicht. Erst beim Remove im abgesicherten Modus laut Beschreibung im Post hat alles funktioniert. ::)

    Und ich habe jetzt nach sicherlich insgesamt 20 Stunden Programmsuche, Fehlersuche, Scans verschiedenster Programme, Ärgern, Suchen nach Lösung des Problems die Schnauze voll &  wünsche den Leuten von Elite Toolbar Spontandurchfall - am besten wenn Sie gerade in einem Auto mit weissen Ledersitzen sitzen. :mad:

    Wenn ich mir vorstelle, was 20 Stunden meiner Arbeitszeit kosten würden......echt ärgerlich sowas.

    Habe das ganze jetzt so ausführlich beschrieben, dass wenn jemand noch mal das Elite Problem hat, schnell eine Lösung finden kann.

    Viele Grüsse,

    Sonja
    (eliteroe32 frei)
     
  4. Darum sagte ich es ja.

    Man sollte vielleicht noch sagen, dass am Besten die Systemwiederherstellung deaktiviert werden sollte, bis der PC wieder clean ist.

    jou! am Besten, wenn es weit und breit kein Klopapier gibt. ;D ;D

    Hauptsache, du bist den Schädling los.

    Gruss
    Dakota
     
  5. Ja, ich weiss ja - genau lesen & den Anweisungen folgen.
    Aber wenn die ganze Wühlerei in Computerinnereien für mich wie das Durchführen einer OP am offenen Herzen ist?
    Ich habe echt nicht viel Ahnung von Registry Einträgen, HiJack.....und das Hochfahren im abgesicherten Modus musste ich auch erstmal nachlesen. ::)
    Das mit dem Ausschalten der Systemwiederherstellung ist echt auch grundlegend, steht aber auch in dem Thread aus dem englischen Forum.
    Also danke nochmal für die Hilfe!
    Grüsse,
    Sonja
     
Die Seite wird geladen...

Pop up Programm-wo ist es versteckt? - Ähnliche Themen

Forum Datum
Versteckte Dateien (.ht*-Dateien & co.) per Builtin FTP-Viewer anzeigen Windows XP Forum 18. März 2011
Versteckte Tools in Windows 7 Windows 7 Forum 6. Juni 2010
Ein Image auf einer versteckten Partition erstellen Datenwiederherstellung 17. Mai 2013
Avira hat mir 64 versteckte Objekte gemeldet Firewalls & Virenscanner 27. Apr. 2012
versteckte Primärpartition Windows 7 Forum 26. Dez. 2011