ie-popup am start von ff

[kingpomm]

hallo.

seit ca 2 tagen bekomme ich bei jedem start von firefox ein popup vom internet explorer.
ich hoffe ihr könnt mir helfen, hier das hjt-logfile:

Logfile of HijackThis v1.99.1
Scan saved at 14:27:50, on 29.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\Denis\Desktop\HijackThis.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {93AFBD61-37BA-C9E4-986A-159B6078D93C} - C:\DOKUME~1\Denis\ANWEND~1\MEDIAM~1\Bone Amen.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Film Grim] C:\DOKUME~1\Denis\ANWEND~1\BIASON~1\Helpbytemore.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{352A3E0D-BFD7-4A7A-987C-C7807ECBF518}: NameServer = 217.237.151.33 217.237.149.225
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


danke im voraus.

[Karl]

Hallo,

was hast Du denn an Software neu installiert in den letzten Tagen? Du hast den Swizzor (auch Lop.com genannt) im System, der kommt üblicherweise gebündelt mit "freier" Software wo man erst hinterher merkt wie "frei" die doch ist. Am häufigsten tritt er mit Netpumper und MessengerPlus 3 auf, ich würde aber die Liste gerne erweitern können.

Entpacke das angehängte Zip auf deinen Desktop und starte listjobs.bat, den Inhalt des Editorfenster posten.

Gruß, Karl

[kingpomm]

das ist dabei rausgekommen:

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 48D2-340E

Verzeichnis von C:\WINDOWS\tasks

25.05.2006 12:19 <DIR> .
25.05.2006 12:19 <DIR> ..
19.05.2006 17:15 396 1-Klick-Wartung.job
29.05.2006 17:00 264 AC0AF93B91456CBB.job
04.08.2004 14:00 65 desktop.ini
29.05.2006 11:32 6 SA.DAT
4 Datei(en) 731 Bytes
2 Verzeichnis(se), 147.304.013.824 Bytes frei

[Karl]

Dann entpacke dir den nächsten Anhang ebenfalls auf deinen Desktop.

In Hijackthis vor folgende Zeile(n) einen Haken machen und dann "Fix checked" klicken

Code:

O2 - BHO: (no name) - {93AFBD61-37BA-C9E4-986A-159B6078D93C} - C:\DOKUME~1\Denis\ANWEND~1\MEDIAM~1\Bone Amen.exe
O4 - HKCU\..\Run: [Film Grim] C:\DOKUME~1\Denis\ANWEND~1\BIASON~1\Helpbytemore.exe

Danach die deljob.bat aus dem neuen Anhang starten. Die öffnet einen Editor mit einem kurzen Log, das auch unter C:\deljob.txt gespeichert ist. Das System neu starten, ein neues Hijackthis machen und posten, dazu die C:\deljob.txt posten.

[kingpomm]

deljob:

job file AC0AF93B91456CBB.job not found

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 48D2-340E

Verzeichnis von C:\WINDOWS\Tasks

29.05.2006 17:59 <DIR> .
29.05.2006 17:59 <DIR> ..
19.05.2006 17:15 396 1-Klick-Wartung.job
04.08.2004 14:00 65 desktop.ini
29.05.2006 11:32 6 SA.DAT
3 Datei(en) 467 Bytes
2 Verzeichnis(se), 147.304.873.984 Bytes frei



logfile:

Logfile of HijackThis v1.99.1
Scan saved at 18:07:14, on 29.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Denis\Desktop\HijackThis.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{352A3E0D-BFD7-4A7A-987C-C7807ECBF518}: NameServer = 217.237.151.33 217.237.149.225
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[Karl]

Das Hijackthis Log sieht schon wieder gut aus, wie verhält sich der Rechner? In den letzten Tagen neu installierte Software gibt es bei dir nicht?

Die beiden folgenden Ordner müssen komplett samt all ihrem Inhalt gelöscht werden.

C:\DOKUME~1\Denis\ANWEND~1\MEDIAM~1\
C:\DOKUME~1\Denis\ANWEND~1\BIASON~1\

Führe den eScan nach dieser Anleitung aus.

[kingpomm]

also installiert hab ich ganz schön viel, eigentlich alles innnerhalb der letzten woche, der rechner is noch ganz neu...hab zB antivir, zonealarm, tune up, teamspeak, hjt, no23 recorder, mirc, photo filtre, file zilla, winamp, paint.NET, firefox, icq, camstudio, und paar andere auch noch...


aber muss ich den escan wirklich machen? die beiden ordner hab ich jetzt gelöscht und kommt auch keine werbung mehr...euigentlich ist es doch jetzt fertig oder?

[Karl]

Du mußt natürlich nichts

Wir neigen hier hat ein bischen zur Gründlichkeit. Die Chancen sind einigermaßen gut daß ein Escan schon noch was finden würde, z.B. die Installationsdatei die die Seuche mitbrachte. Wenn man nur genügend scant dann findet man auf jedem System was

Für mich ist es ok wenn Du es sein läßt, möglicherweise sehen die KollegInnen das aber anders. Ich empfehle dir aber dir den Escan zu merken. Antivir ist recht gut aber findet nicht immer alles. Ein Escan im abgesicherten Modus ist auch eine gute zusätzliche Überprüfung.

Gruß, Karl

[kingpomm]

ok danke, hast mir sehr geholfen, ad-aware und anti-vir haben nichts gefunden und soviel spyware usw können innerhalb von einer woche ja nicht drauf sein...

mfg kingpomm