Adware :-(

ich hab mir irgendwo adware runtergeladen, alle 2 minuten öffnet sich in meim firefox browser n neues fenster mit werbung oder s kommt ne seite, da steht: haben sie sich adware durch downloaden von mp3s oder ähnlichem auf den PC geladen? dann scannen sie jetzt ihren PC! dann hats eben noch nen scannen button... naja... ad-aware hat zwar einige verdächtige dateien gefunden, hab se auch gelöscht, aber die popups sind immer noch da...
also jetzt meine frage: mit was könnt ich das zeug noch vom PC bekommen? mit HijackThis ists glaub etwas aufwendig, gehts auch irgendwie einfacher?

powerslasher

Ad-aware im abgesicherten Modus mal durchlaufen lassen (und wenn mit aktueller Spyware Signatur)

ansonsten noch mal Spybot Search and Destroy rüberlaufen lassen.

Und wenn das alles nicht hilft, mach mal nen Log mit Highjackthis.

Greetz Lemmy

dann scannen sie jetzt ihren PC! dann hats eben noch nen scannen button...

...und Du drückst da auch tatsächlich drauf?
Oh, Mann! Warum ist Hijackthis zu aufwendig? Ist ne Angelegenheit von maximal einer Minute.
Aber, so wie's aussieht, ist's sowieso schon zu spät.

Aber einen Versuch ist es allemal wert.

Gruß - wutzbaer

dumm oder was? oder einfach nur die brille vergessen? wo hab ich geschrieben dass ich da draufgedrückt hab?
toll... du bist aber schon der blicker, oder? Hijackthis drüberlaufen dauert nicht lang (wer hätts gedacht) tja, dann musst nur noch wissen was da jetzt von nem gewollten prog ist und was nicht...

powerslasher

Logfile of HijackThis v1.99.1
Scan saved at 17:12:59, on 23.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Q2xhdWRpdXMA\command.exe
D:\Programme\Executive Software\DiskeeperLite\DKService.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Program Files\ASUS\Probe\AsusProb.exe
D:\Programme\DU Meter\DUMeter.exe
D:\Programme\Desktop Sidebar\dsidebar.exe
D:\Programme\CursorXP\CursorXP.exe
D:\Programme\NETGEAR WG311v2 Adapter\wlancfg5.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinAce\WinAce.exe
C:\Dokumente und Einstellungen\Claudius\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.accoona.com/search_assis...ce=wdz1&utm_medium=bund&utm_campaign=wdz0605a
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ASUS Probe] D:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [DU Meter] D:\Programme\DU Meter\DUMeter.exe
O4 - HKCU\..\Run: [SIDEBAR] "D:\Programme\Desktop Sidebar\dsidebar.exe"
O4 - HKCU\..\Run: [CursorXP] D:\Programme\CursorXP\CursorXP.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: NETGEAR WG311v2 Smart Configuration.lnk = D:\Programme\NETGEAR WG311v2 Adapter\wlancfg5.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - D:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - D:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll
O20 - Winlogon Notify: Run - C:\WINDOWS\system32\jtnu0759e.dll
O20 - Winlogon Notify: WB - D:\PROGRA~1\Stardock\Object Desktop\WindowBlinds\fastload.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Q2xhdWRpdXMA\command.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - D:\Programme\Executive Software\DiskeeperLite\DKService.exe


so, des is mein hijackthis logfile...

Geh doch auf die Seite http://www.hijackthis.de/ und gib da die Logfile ein und klick unten auf "Auswerten". Dann siehst Du dass Du drei "böse" Einträge hast.

Joe

Im abgesicherten Modus fixen.

Powerslasher schrieb:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.accoona.com/search_assis...ce=wdz1&utm_medium=bund&utm_campaign=wdz0605a
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s

O20 - Winlogon Notify: Run - C:\WINDOWS\system32\jtnu0759e.dll

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Q2xhdWRpdXMA\command.exe

Zum Vergrößern anklicken....

Den Ordner C:\WINDOWS\Q2xhdWRpdXMA löschen.

Danke, habs schon... war ja doch nicht soooo umständlich ;-)
ne, ich hab
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
gelöscht, und jetzt isses weg... keine probleme mehr... danke für eure hilfe ;-)

tja... war wohl nix... is nach nem neustart wieder wie davor... alle paar sekunden n popup... aber hijackthis erkennt nix mehr.. hier mal mein neues logfile... vllt könnt ihr ja damit was anfangen...

Logfile of HijackThis v1.99.1
Scan saved at 19:43:04, on 24.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Programme\Executive Software\DiskeeperLite\DKService.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Program Files\ASUS\Probe\AsusProb.exe
D:\Programme\DU Meter\DUMeter.exe
D:\Programme\Desktop Sidebar\dsidebar.exe
D:\Programme\CursorXP\CursorXP.exe
D:\Programme\NETGEAR WG311v2 Adapter\wlancfg5.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Claudius\Desktop\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.accoona.com/search_assis...ce=wdz1&utm_medium=bund&utm_campaign=wdz0605a
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ASUS Probe] D:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [DU Meter] D:\Programme\DU Meter\DUMeter.exe
O4 - HKCU\..\Run: [SIDEBAR] "D:\Programme\Desktop Sidebar\dsidebar.exe"
O4 - HKCU\..\Run: [CursorXP] D:\Programme\CursorXP\CursorXP.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: NETGEAR WG311v2 Smart Configuration.lnk = D:\Programme\NETGEAR WG311v2 Adapter\wlancfg5.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - D:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - D:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll
O20 - Winlogon Notify: WASHData - C:\WINDOWS\system32\d6j02g1mg6.dll
O20 - Winlogon Notify: WB - D:\PROGRA~1\Stardock\Object Desktop\WindowBlinds\fastload.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - D:\Programme\Executive Software\DiskeeperLite\DKService.exe

Also nach kurzem überfliegen ist der eintrag [ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.accoona.com/search_assist...paign=wdz0605a]

wieder da...
Edit: Glaube die Einträge können auch raus:
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - D:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - D:\Programme\Desktop Sidebar\sbhelp.dll
(da bin ich mir aber nich 100 Prozent sicher, aber müßte schon stimmen)

So, nächster versuch:
Start: Ausführen: msconfig

Dann beim Systemstart alle unwichtigen sachen den hacken entfernen.

Und dann noch mal den obengenannten eintrag fixen.


Gruß Lemmy

danke... des hab ich auch grad bemerkt^^ und habs scho gefixt, bringt nix...
und bei den 2 andern einträgen, die brauch ich noch is von meiner desktop sidebar, dürft eigentlich nix besonderes mit sein...
und mit msconfig hab ich auch schon geschaut, hat sich nix neues eingetragen...

powerslasher

Diese command.exe aus dem ersten Log existiert hoffentlich nicht mehr? oder?

Außerdem ist in deinem zweiten Log wieder eine DLL, die im WinLogon Notify aufgerufen wird. Die laden sich immer schön nach und ändern die Namen in zufällige Buchstaben-Zahlen-Kombinationen.

O20 - Winlogon Notify: WASHData - C:\WINDOWS\system32\d6j02g1mg6.dll

Wenn du immer nur Teile löscht, wirst du nie zu einem Ende kommen.

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.accoona.com/search_assist...paign=wdz0605a

zu "fixen" allein reicht nicht.

Stichwort: abgesicherte Modus und die Dateien auch löschen oder halt in dein Quarantäne-Verzeichnis "auslagern"

Tip : systemwiederherstllung deaktivieren und dann diese datein löschen.
Wichtig als admin im abgesicherten modus.

Sieht mir nach trojanern aus die du dir aus welchen gründen auch immer jedesmal aufs neue startest nachem booten.
überprüfe auch deine autostartumgebung in der registry - kann mir gut vorstellen da is auch was faul.

also... die command.exe hab ich natürlich gelöscht...
naja, die dll gibts nemme, dafür n paar andere winlogon notify werte...
also nochmal men neues logfile:

Logfile of HijackThis v1.99.1
Scan saved at 13:54:31, on 25.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Programme\Executive Software\DiskeeperLite\DKService.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Program Files\ASUS\Probe\AsusProb.exe
D:\Programme\DU Meter\DUMeter.exe
D:\Programme\Desktop Sidebar\dsidebar.exe
D:\Programme\CursorXP\CursorXP.exe
D:\Programme\NETGEAR WG311v2 Adapter\wlancfg5.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\Claudius\Desktop\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ASUS Probe] D:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [DU Meter] D:\Programme\DU Meter\DUMeter.exe
O4 - HKCU\..\Run: [SIDEBAR] "D:\Programme\Desktop Sidebar\dsidebar.exe"
O4 - HKCU\..\Run: [CursorXP] D:\Programme\CursorXP\CursorXP.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: NETGEAR WG311v2 Smart Configuration.lnk = D:\Programme\NETGEAR WG311v2 Adapter\wlancfg5.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - D:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - D:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll
O20 - Winlogon Notify: RunServicesOnce - C:\WINDOWS\system32\dn6601jse.dll
O20 - Winlogon Notify: WB - D:\PROGRA~1\Stardock\Object Desktop\WindowBlinds\fastload.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - D:\Programme\Executive Software\DiskeeperLite\DKService.exe

Stichwort: abgesicherte Modus und die Dateien auch löschen oder halt in dein Quarantäne-Verzeichnis "auslagern"

Zum Vergrößern anklicken....

wie soll ich die dateien bitte im abgesicherten modus löschen? des sind ja registry einträge, wen ich im regedit danach such findets aber nur was andres...

überprüfe auch deine autostartumgebung in der registry - kann mir gut vorstellen da is auch was faul.

Zum Vergrößern anklicken....

und wo isch in der registry meine autostart umgebung?

powerslasher

edit: hab grad in nem andern forum n link für n deinstallations prog für die adware oder den trojaner oder was auch immer gefunden, sieht für mich aber edd so besonders vertrauenswürdig aus: http://www.ad-w-a-r-e.com/cgi-bin/UnInstaller

naja, und seit gestern bekomm ich fehlermeldungen: beim ausführen von
...system32/iiakui.dll, DllGetVersion ist eine ausnahme aufgetreten, ich schätz mal des kommt weil ich eben die oben ganannten dateien gefixt hab...

Den von Dir genannten Uninstaller kenn ich nicht. Komische Seite...
Wenn Du glaubst dass Du sonst irgendwie infiziert bist, dann probier mal Stinger. Einfach downloaden und ausführen.

http://vil.nai.com/vil/stinger/

Joe

soooo den link hab ich nicht gebraucht, trotzdem danke...
hab mir sygate personal firewall geladen... und da wollen eben 2 dateien ins internet und auf die hp dies mit der adware immer öffnet... hab mal geschaut... ist rundll32.exe und winlogon.exe im system32 ordner... löschen kann ich die dll schlecht... braucht ja windows noch...
öffnen tuts jetzt keine popups mehr, hab des eben blockiert... aber des zeug will ich trotzdem nicht aufm pc haben... hat jemand ne idee?

powerslasher

Machst du deine Sachen im Abgesicherten Modus? Ich denke nicht.

was meinst du mit Sachen? des zeugs hab ich scho im abgesicherten modus gefixt...

powerslasher

http://www.neuber.com/taskmanager und gefährliche Sachen raushauen
Es bringt doch nichts, wenn die Adware im Hintergrund noch läuft und nur unterdrückt wird.