[örk1]

Hallo zusammen!
Ich habe seit kurzem ein Problem mit Adware.
Von Zeit zu Zeit öffnen sich aus dem nichts Werbeanzeigen in Firefox, und ich werde befragt ob ich im IE skripte weiter ausführen lassen soll. Habe einige scans mit verschiedenen Programmen durchgeführt (Spypot, Adaware), was aber nicht zu ergebnissen geführt habe. Ich hatte bisher nie probleme mit ad- oder malware, bin deshalb ziemlich unerfahren. Habe nun auch in hijackthis protokoll erstellt, weiß aber nicht damit umzugehen. Ich hoffe jemand kann mir tips geben, die nervigen popups in den griff zu kriegen!

Hier das hijackthis logg:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:10:26, on 25.07.2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.21256)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Uniblue\RegistryBooster\rbmonitor.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\RunDll32.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\ICQ7.5\ICQ.exe
C:\Programme\LogMeIn Hamachi\hamachi-2.exe
C:\Traktor\Herculesrmx\drivers\x86\HerculesDJContr olMP3.EXE
D:\Programme\ICQ6Toolbar\ICQ Service.exe
D:\Programme\Gemeinsame Dateien\Native Instruments\Hardware\NIHardwareService.exe
D:\WINDOWS\system32\wuauclt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - D:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ7.5\ICQ.exe" silent loginmode=4
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - D:\Programme\ICQ7.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - D:\Programme\ICQ7.5\ICQ.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - D:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - D:\WINDOWS\system32\browseui.dll
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Programme\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: Hercules DJ Control MP3 (HerculesDJControlMP3) - Unknown owner - C:\Traktor\Herculesrmx\drivers\x86\HerculesDJContr olMP3.EXE
O23 - Service: ICQ Service - Unknown owner - D:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft Limited - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NIHardwareService - Native Instruments GmbH - D:\Programme\Gemeinsame Dateien\Native Instruments\Hardware\NIHardwareService.exe

--
End of file - 5659 bytes

[Saftkutscher]

Installier mal das Add-On Nos***** für den Firefox, des könnte schon helfen, gilt auch für Adblock-Plus

Der Eintrag kommt mir komisch vor:
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32
er ist mehrfach vorhanden und sagt mir nix

[örk1]

Zitat:

Zitat von Saftkutscher

Installier mal das Add-On Nos***** für den Firefox, des könnte schon helfen, gilt auch für Adblock-Plus

Nos***** verwende ich bereits, bin auch sehr zufrieden damit!

Zitat:

Der Eintrag kommt mir komisch vor:
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32
er ist mehrfach vorhanden und sagt mir nix

Angenommen dieser Eintrag ist verantwortlich für die popups, wie müsste ich weiter vorgehen?

[ckjthedogmaster]

nltide_2 ist ein Eintrag von "nLite", der für das 1. ausführen das Systems wichtig ist, um alle nLite Registery-Einstellungen einzutragen. Kann eigentlich bedenkenlos gelöscht werden.


So, du startest jetzt erstmal Hijack nochmal und wählst "Do a scan only" und wählst dann folgende Einträge:

R3 - URLSearchHook: (no name) - - (no file)
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Dann gehts mit Klick auf "Fix" weiter.

Danach lädst du dir [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] runter, updates und machst nen Fullscan....

Die Log postest du dann hier..

Mfg

[örk1]

hier der malwarebyte logg..

Malwarebytes' Anti-Malware 1.51.1.1800
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Datenbank Version: 7249

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

26.07.2011 18:31:31
mbam-log-2011-07-26 (18-31-30).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|K:\|)
Durchsuchte Objekte: 154063
Laufzeit: 1 Stunde(n), 14 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

leider noch nichts gefunden..

[ckjthedogmaster]

Hast du die beiden oben genannten Sachen gefixt?


Mfg

[örk1]

ja hab die einträge gefixt, habe bis jetzt keine probleme mehr! danke für die hilfe!

*edit* ok scheinbar ist das problem doch nicht ganz behoben.. hatte erneut popups