Hi leute

ich hatte eine Zeit lang probleme mit pop ups die sich ständig geöffnet haben. Also habe ich einen Kollegen gefragt und er hat mir Spybot-SD epfholen... Ich habe dort den Scan und die updates durch geführt... Nun öffnen sich aber immer noch pop ups !!! Bitte hälft mir sonst hängt meine Faust irgendwann ganz im Monitor drin =)


MFG s0ul4s0ulz

Welche Art Popup kommen und was findet Spybot, wenn es etwas findet.

Poste zusaetzlich bitte noch ein Hijackthis log:
http://www.cidres-security.de/hijackthis.html

Logfile of HijackThis v1.99.1
Scan saved at 20:11:19, on 22.03.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\BRMFRSMG.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\AIM95\aim.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Dokumente und Einstellungen\willy\Desktop\Neuer Ordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Registry Checkup System326a Monitor] Winregs326a.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunServices: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKLM\..\RunServices: [MS Domain Name Server Deamon] MSDNSD32.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: db dialog updater.lnk = C:\Programme\db dialog\wiseupdt.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c267.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab?83e5fc6d995c376ab70458af1b406574d8c437787d8dd6c88b6c2ac3f84c5c4e1ad957b13b6defd6eebdb1dff93974d7acba375bbc19f23d91e9c49c9ce792b34d1a074f2a:6f750d40ae25fea7e1b37b6906113080
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{75E2EF00-CEC7-4819-840B-05CF6D3AC3CA}: NameServer = 217.237.151.225 217.237.150.225
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: ShellServiceObjectDelayLoad - C:\WINDOWS\system32\en22l1fo1.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: hpdj - HP - C:\DOKUME~1\willy\LOKALE~1\Temp\hpdj.exe
____________________________

Es kommen so Popups wo gefragt wird "Soll dieses Virus programm installiert werden Ja / NEIN" usw.......Und werbung von Ebay etc

Das sieht nicht gut aus. Bei dir gab und gibt es mehrere Bots aufgrund eines nicht gepatchtem(aktualisiertem) Windows XP. Sprich du nutzt nur das SP1 und es gibt schon lange das SP2 welches diverse Sicherheitsluecken schliesst, ueber die diese Bots eindringen.

Fuer die Popups ist look2me(O20 Eintrag) verantwortlich, eine sehr laestige und schwer zu loeschende Adware.

Ich wuerde zu neu Aufsetzen raten. Infos dazu findest du u.a. hier: http://board.protecus.de/t13020-1.htm
http://www.cidres-security.de/neuaufsetzen.html


Solltest du das nicht wollen, koennen wir auch eine Reinigung versuchen, aber das ist definitiv die schlechtere der zwei Moeglichkeiten.

das doofe ist, ich kann den PC nicht einfach neuinstallieren... Er gehört meinen Daddy =) Also was würden wir machen wenn wir eine Reinigung versuchen würden ???

Dazu würde auch ich Dir nicht raten.

Der PC ist kompromitiert.
Bedeutet er gehört euch nicht mehr, da Zombie.
Der Rechner ist nicht nur, nicht mehr zu gebrauchen für Sicherheitsrelevante Dinge wie OnlineBanking, Ebay kauf, usw., sondern auch eine Gefahr für andere PC´s im Web, die genauso wenig up to Date sind.

Also mit Daddy reden, PC neuaufsetzen, Gedanken über ein gescheites Sicherheitskonzept (AntiViren Programm, Firewall, Sbybot, AdAdware, alle aktuellen Updates, etc.) machen und vorallem Dingen schnellstens alle Passwörter ändern. Aber erst mit dem neuaufgesetzten Rechner, oder einem anderen sauberen PC.

Gute Tipps zum aufsetzen bekommst Du u.a. hier
http://www.incosec.de/index.htm

gruss piti22