[HaBo]

Flownie

Anzeige

Servus. Ich habe seit einigen Tagen das problem, das nach dem Hochfahren gleich ein Pop-Up erscheint, dass mir diverse Angebote machen möchte, zudem werden einige Links (nicht alle) zu Suchmaschinen umgeleitet.
Nach ersten Eerkenntnissen dachte ich, es sei "CoolWebSearch", doch der CoolWebShredder hatte bloß eine Datei gefunden und gleich gelöscht.
Ad Aware hängt sich dagegen auf, wenn es anfängt, die HKEY_LOCAL_MACHINE Registry zu scannen.
Spybot findet zwar ein Problem, welches sich zwar dedm Programm nach auch löschen lässt, doch nach dem Re-Boot ist diese immernoch da.

Hier ein Screenshot von dem Problem:

http://www.sjuengling.de/flow/Problem.JPG

Ich hoffe, ihr könnt mir helfen.

lost

empfehle hijackthis



klick


mal spybot upgedatet?


reg gelöscht?



IE mit pop up blocker

zb. opera, firefox

Flownie

Firefox benutze ich bereits und Spybot war geupdatet.

Mit HijackThis konnte ich ehrlich gesagt nichts nafangen, muss mir dass mal von 'nem Kumpel erklären lassen

Registry löschen? Wie? Und kann ich dabei irreparable Schäden verursachen?

Ranma

hmmm...
hast du mal in deine HOSTS-Datei geschaut, ob da Einträge generiert wurden.
Die würden dann z.B. die Umleitungen erklären...

Wenn Du nichts besonderes konfiguriert hast, dürfte da nur der

127.0.0.1 localhost

drinstehen!
Unter XP weiss ich nicht, wo die HOSTS steht, müsstest mal im Explorer danach suchen (Ctrl-F); bei mir ist es hier:
C:\WINNT\SYSTEM32\DRIVERS\ETC

Mach Dir am Besten eine Sicherung davon.
Danach(!) sukzessive die Zeilen löschen

lost

keine angst bei Hijackthis.

hols dir uns mach ein scan....log speichern und hier mal alles reinkopieren

wir schauen uns es an.


oder einfach selber nachschauen hier

das böse (in der auswertung rot marktiert) fixen und weg damit

Flownie

So, hier das HijackThis Log:



Logfile of HijackThis v1.99.1
Scan saved at 17:01:57, on 30.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\ANTI VIR\AVGUARD.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Anti Vir\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RioMSC.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Anti Vir\AVGNT.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Games\Diablo II\Game.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\In Flames\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.the-review.de/
R3 - URLSearchHook: (no name) - {1729A874-33D4-6B4E-A976-E11CE683B2F2} - gabber.dll (file missing)
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\Anti Vir\AVGNT.EXE" /min
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{71D1702C-F7C2-4B9B-A860-3E7BBAF0461B}: NameServer = 85.255.114.78,85.255.112.89
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B7CD08D-2A3C-4873-92CF-F8F165C06487}: NameServer = 85.255.114.78,85.255.112.89
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA7E27CA-61E1-42AA-8723-3FDE9907E725}: NameServer = 85.255.114.78,85.255.112.89
O17 - HKLM\System\CCS\Services\Tcpip\..\{C64B44D5-C5FD-4514-AAED-1D73C37838DC}: NameServer = 85.255.114.78,85.255.112.89
O17 - HKLM\System\CS2\Services\Tcpip\..\{71D1702C-F7C2-4B9B-A860-3E7BBAF0461B}: NameServer = 85.255.114.78,85.255.112.89
O17 - HKLM\System\CS3\Services\Tcpip\..\{71D1702C-F7C2-4B9B-A860-3E7BBAF0461B}: NameServer = 85.255.114.78,85.255.112.89
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\ANTI VIR\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\Anti Vir\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: RIO Mass Storage C (RioMSC) - Digital Networks North America, Inc. - C:\WINDOWS\system32\RioMSC.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUp Utilities 2006\WinStyler\WinStylerThemeSvc.exe (file missing)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe (file missing)

lost

zu entfernen sind folgende
wenn es keine ISP des Firmennetzwerks sind

R3 - URLSearchHook: (no name) - {1729A874-33D4-6B4E-A976-E11CE683B2F2} - gabber.dll (file missing)9



O17 - HKLM\System\CCS\Services\Tcpip\..\{71D1702C-F7C2-4B9B-A860-3E7BBAF0461B}: NameServer = 85.255.114.78,85.255.112.89


O17 - HKLM\System\CCS\Services\Tcpip\..\{8B7CD08D-2A3C-4873-92CF-F8F165C06487}: NameServer = 85.255.114.78,85.255.112.89


O17 - HKLM\System\CCS\Services\Tcpip\..\{BA7E27CA-61E1-42AA-8723-3FDE9907E725}: NameServer = 85.255.114.78,85.255.112.89



O17 - HKLM\System\CCS\Services\Tcpip\..\{C64B44D5-C5FD-4514-AAED-1D73C37838DC}: NameServer = 85.255.114.78,85.255.112.89



O17 - HKLM\System\CS2\Services\Tcpip\..\{71D1702C-F7C2-4B9B-A860-3E7BBAF0461B}: NameServer = 85.255.114.78,85.255.112.89


O17 - HKLM\System\CS3\Services\Tcpip\..\{71D1702C-F7C2-4B9B-A860-3E7BBAF0461B}: NameServer = 85.255.114.78,85.255.112.89



unnötige


O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUp Utilities 2006\WinStyler\WinStylerThemeSvc.exe (file missing)


O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe (file missing)

Flownie

Err, Firmennetzwerk? Ist ein Privatrechner mit W-Lan, falls das was zur Sache tut oO

Wie lösche ich diese Einträge?

lost

firmennetzwerk kannste dann wohl löschen

edit: übernehme keine haftung falls sie doch gebraucht werden


einfach häckchen rein und fix checked

schweiz

hier ein link mit dem du selber sehen kannst, welche dateien böse und welche gut sind:

Link

mfg schweiz

Flownie

Vielen Dank! Nur noch eine Sache: Bevor ich etwas dummes tue, würde ich gerne die Dateien sichern. Wie?

FOG

Brenn sie dir runter.

Flownie

Danke, aber so weit war ich auch schon Mir gings darum, wie komme ich in die Registry?
Un dkann ich Dateien da einfach "rausnehmen"? Ich glaube man merkt, dass ich nicht die geringste Ahnung habe

dfi

Hallo Flownie

man merkt nicht nur, dass du laut deinen Angaben nicht die geringste Ahnung hast, sondern auch kein bisschen Eigeneinsatz zeigst. Anti-Googler?

1. Ausführen
2. "regedit" eintippseln und OK drücken
3. "Datei", "Exportieren"

That's it!

MfG dfi