popups und redirected sites ohne ende

[onkelmichi]

hier mein logfile.weiss nicht warum ,aber es kommen ohne ende müllpopups.habs schon auswerten lassen,aber konnte nichts konkretes feststellen.hab zwar einen verdacht ,trau mich aber nicht das zu fixen.vielleicht könnt ihr mir ja helfen die ips am schluss sinds jedenfalls nicht,die kenne ich

Code:

 Logfile of HijackThis v1.98.2
 Scan saved at 20:32:34, on 04.11.2004
 Platform: Windows XP SP1 (WinNT 5.01.2600)
 MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
 Running processes:
 C:\WINDOWS\System32\smss.exe
 C:\WINDOWS\system32\winlogon.exe
 C:\WINDOWS\system32\services.exe
 C:\WINDOWS\system32\lsass.exe
 C:\WINDOWS\system32\svchost.exe
 C:\WINDOWS\System32\svchost.exe
 C:\WINDOWS\system32\spoolsv.exe
 C:\WINDOWS\system32\rundll32.exe
 C:\WINDOWS\Explorer.EXE
 C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
 C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
 C:\Program Files\NavNT\vptray.exe
 C:\WINDOWS\BQTray.exe
 C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
 C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
 C:\Program Files\iTunes\iTunesHelper.exe
 C:\windows\system32\netdaemon.exe
 C:\WINDOWS\System32\ctfmon.exe
 C:\Program Files\AVPersonal\AVWUPSRV.EXE
 C:\Program Files\NavNT\defwatch.exe
 C:\Program Files\NavNT\rtvscan.exe
 C:\WINDOWS\System32\nvsvc32.exe
 C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
 C:\Program Files\iPod\bin\iPodService.exe
 C:\WINDOWS\System32\MsgSys.EXE
 C:\WINDOWS\System32\wuauclt.exe
 E:\appz\hjckths\HijackThis.exe
 
 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
 O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
 O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
 O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
 O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
 O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
 O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
 O4 - HKLM\..\Run: [BurnQuick Queue] C:\WINDOWS\BQTray.exe
 O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
 O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
 O4 - HKLM\..\Run: [CloneCDTray] C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
 O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
 O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
 O4 - HKLM\..\Run: [netdaemon] c:\windows\system32\netdaemon /v
 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
 O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
 O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
 O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
 O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10...o.cab27513.cab
 O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
 O17 - HKLM\System\CCS\Services\Tcpip\..\{147398F5-9C96-4CF0-98C2-4D4EF8466616}: NameServer = 195.34.133.10,195.34.133.11
 O17 - HKLM\System\CCS\Services\Tcpip\..\{CFA13ECE-5B67-4962-8CA1-0A98CE6638B4}: NameServer = 195.34.133.10,195.34.133.11
 O17 - HKLM\System\CS1\Services\Tcpip\..\{147398F5-9C96-4CF0-98C2-4D4EF8466616}: NameServer = 195.34.133.10,195.34.133.11
 O17 - HKLM\System\CS2\Services\Tcpip\..\{147398F5-9C96-4CF0-98C2-4D4EF8466616}: NameServer = 195.34.133.10,195.34.133.11

[Darth Webber]

Hallo,

diese BQTray.exe, meinst du diese? Ich habe in Google mal nach der Datei gesucht, einige Seiten sagen das wäre Spyware, falls es im Taskmanager läuft beende es mal. Prüfe die Datei auch mal mit dem Kaspersky Onlinescanner, Ad-Aware und Spybot S & D.

[Matze]

@Darth Webber: Jaja, Google zu bedienen ist schwer da gebe ich dir recht

System Tray access to BurnQuick CD burning software. Only required if you use the queueing facility, hence the U recommendation. Create your own desktop shortcut to start manually

Gehört also zu http://www.burnquick.com/

Überprüfe mal die netdaemon.exe hier: http://www.kaspersky.com/de/scanforvirus

[onkelmichi]

laut kapersky iss die datei nicht virös.komisch genau die hatte ich auch in verdacht.vielleicht sollte ich die trotzdem fixen????.kann mich jedenfalls nicht erinnern jemals ein programm namens netdemon installiert zu haben.was könnte passieren ,wenn ich die fixe????.und was ist eigentlich mit der RUNDll32.exe?

[Speedy]

hi onkelmichi

im bestenfall --> nix, aber auch format:c, weil nichts mehr geht

hast du dir den link von matze angesehen --> brennprogi --> und ist sowas installiert, vermutlich schon.

bitte download von spybot S&D sowie Adaware und nach einem update in den abgesicherten modus wechseln, scannen und bereingen lassen

und was ist eigentlich mit der RUNDll32.exe?

--> google ist dein feund und kaspersky erzählt dir eventuell etwas darüber.

[onkelmichi]

leider die netdemon.exe wars nicht-wär ja zu schön gewesen.popups popups popups.wenn ich die sch maleware nicht finde hilft wirklich nurmehr ein format c
spybot 1.3 und adaware von lavasoft hab ich doch längst.die finden leider auch nix

[Speedy]

hi
download regcleaner -> registry säubern
temp und tif löschen
trojancheck6 downloaden und ausführen, wenn wir noch immer nicht dahinterfinden, eScan nach anleitung laufen lassen

da liegt eben das problem
O4 = Autostarteinträge aus der Registry (um 04-Einträge zu fixen, muss erst der jeweilige Prozess im Taskmanager beendet werden)

sehen wir uns die exe(n) an, dazu HijackThis starten->config->misc tool -> open prozess manager -> kleine disc ->speichern und dieses logfile hier OHNE [code] posten

[Speedy]

hi
und wenn alles nichts hilft, siehe hier nach