Popup

**Basti44** · 25.08.2005, 12:21

Hallo!
Bei meinem Computer geht wenn ich den Internetexplorer aufmache immer popups auf, obwohl ich nur auf google bin! Desweiteren kommt das auch wenn man mein Homebankingprogramm aufmacht! Wer kann helfen?
Hier mein Hijack This File!

Code:

Logfile of HijackThis v1.99.1
Scan saved at 13:17:47, on 25.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\Programme\TightVNC\WinVNC.exe
C:\Programme\ScanSoft\OmniPagePro14.0\WorkFlowTray.exe
C:\Programme\ScanSoft\OmniPagePro14.0\Opware14.exe
C:\Programme\ScanSoft\OmniPagePro14.0\OpScheduler.exe
C:\Programme\ScanSoft\OmniPagePro14.0\PdfPrn\SPrnAgent.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\DeeEnEs.exe
C:\WINDOWS\System32\j?vaw.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
C:\Programme\G6 FTP Server\G6FTPSrv.exe
C:\Programme\DBox WinServer\dboxwinsvr.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\system32\hpoipm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\Programme\eMule\emule.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\system32\inetsrv\DavCData.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Ronald Langer\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Eigene%20Webs/VSE_Intranet.htm
O2 - BHO: (no name) - {0096C957-0C9D-786B-9C1E-24A76B38CEC1} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {956D1B7A-D1B9-DE4E-E06E-FC7AE0B00D9E} - C:\WINDOWS\System32\drdcvka.dll
O2 - BHO: (no name) - {956D1B7D-D1B9-DE4E-E06C-FD7AE5B10D9D} - C:\WINDOWS\System32\drdcvka.dll
O2 - BHO: (no name) - {956D1B7E-D1B9-A44B-E019-F47A97C30D9B} - C:\WINDOWS\System32\drdcvka.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {D85ABBDB-C048-29A1-71E2-CD8F17ED0E3F} - C:\DOKUME~1\RONALD~1\ANWEND~1\GRAMEG~1\BONE DART.exe
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [WorkFlowTray] "C:\Programme\ScanSoft\OmniPagePro14.0\WorkFlowTray.exe"
O4 - HKLM\..\Run: [Opware14] "C:\Programme\ScanSoft\OmniPagePro14.0\Opware14.exe"
O4 - HKLM\..\Run: [OpScheduler] "C:\Programme\ScanSoft\OmniPagePro14.0\OpScheduler.exe"
O4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Programme\ScanSoft\OmniPagePro14.0\PdfCnv\RegistryController.exe"
O4 - HKLM\..\Run: [SSPrnAgent] C:\Programme\ScanSoft\OmniPagePro14.0\PdfPrn\SPrnAgent.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [browsedumbbowsmeal] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EACH DEFAULT BROWSE DUMB\way bait.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DeeEnEs] C:\DeeEnEs.exe
O4 - HKCU\..\Run: [Rixvte] C:\WINDOWS\System32\j?vaw.exe
O4 - Startup: BPFTP Server.lnk = C:\Programme\G6 FTP Server\G6FTPSrv.exe
O4 - Startup: Verknüpfung mit dboxwinsvr.lnk = C:\Programme\DBox WinServer\dboxwinsvr.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: PDF in Word öffnen - res://C:\Programme\ScanSoft\OmniPagePro14.0\PdfCnv\IEShellExt.dll /500
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7BC54980-B10A-4C33-AC87-0BAAA4237D5F}: NameServer = 145.253.2.11,145.253.2.75
O17 - HKLM\System\CCS\Services\Tcpip\..\{A325EFCA-6934-44AB-9461-BB73E528E883}: NameServer = 195.50.140.250 145.253.2.203
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Free Proxy Service (FreeProxy) - Unknown owner - C:\Programme\Hand-Crafted Software\FreeProxy\FreeProxy.exe (file missing)
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PsShutdown (PsShutdownSvc) - Unknown owner - C:\WINDOWS\System32\PSSDNSVC.EXE
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - SCM Microsystems - C:\WINDOWS\SCARDS32.EXE
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\TightVNC\WinVNC.exe" -service (file missing)

Danke für jede Hilfe!

**Ruby** · 25.08.2005, 12:57

Hi Basti44

danke fürs posten in vb-Code

Kannst du alles auf deinem Rechner sehen? Überprüfe deine Einstellungen.

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

1
Lade bitte diese Dateien zur Analyse hoch

C:\WINDOWS\System32\j?vaw.exe
C:\WINDOWS\System32\drdcvka.dll

-> Upload malicious software

Melde dich und lass uns wissen, ob der Upload funktioniert hat.

2
Scanne diese Dateien mit Virustotal und Jotti

C:\Programme\DBox WinServer\dboxwinsvr.exe
C:\DOKUME~1\RONALD~1\ANWEND~1\GRAMEG~1\BONE DART.exe
C:\Programme\ScanSoft\OmniPagePro14.0\OpScheduler. exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EACH DEFAULT BROWSE DUMB\way bait.exe
C:\DeeEnEs.exe
C:\WINDOWS\System32\j?vaw.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
C:\WINDOWS\System32\PSSDNSVC.EXE

Teile uns >>alle Ergebnisse mittels copy&paste<< mit.

**koray** · 25.08.2005, 13:40

hi basti

noch ein kleiner tipp von mir. unterlasse bitte zu deiner eigenen sicherheit vorübergehend das homebanking, bis Ruby dir bestaetigt, dass alles mit deinem pc wieder in ordnung ist.

gruss koray

**Basti44** · 29.08.2005, 06:40

C:\WINDOWS\System32\j?vaw.exe
ist ein Backdoor-prog. wurde von Ad-Aware erkannt und nach Systemstart gelöscht
C:\DOKUME~1\RONALD~1\ANWEND~1\GRAMEG~1\BONE DART.exe
Nach dem Löschen dieses Eintrages und des Verzeichnisses keine Veränderung, erst nach dem Löschen des nachvolgenden Eintrages und des Verzeichnisses verschwanden die Poppups
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EACH DEFAULT BROWSE DUMB\way bait.exe
Diese dll (C:\WINDOWS\System32\drdcvka.dll)ist nicht ganz klar, habe sie aus dem Verzeichnis entfernt und gesichert, brachte bis jetzt keine Probleme
Vielen Dank für die Hinweise.
Basti44

**Ruby** · 29.08.2005, 12:52

Hallo Basti44

es ging uns in unserem letzten Posting nicht darum, was du loeschen solltest sondern um Datei-Erkennung. Wir handhaben es so, dass wir erst die Dateien analysieren, um sie dann an die AV-Hersteller weiterzugeben und den Usern gezielte Hilfe zukommen lassen zu koennen.

Anscheinend besteht von deiner Seite kein Interesse zu Zusammenarbeit mit uns oder fehlt das Vertrauen, dass wir dir Hinweise geben, wie du dein System reinigen kannst? Ich hab wenig Lust, dir weitere Tipps zu geben, bei dieser mangelnden Mitarbeit.

Thema: Popup

Themen-Optionen

Popup

AW: Popup

AW: Popup

AW: Popup

AW: Popup

Aktive Benutzer

Aktive Benutzer

Ähnliche Themen

Annoying tray popup

Zu 21.05.05 PopUp nicht wegzubekommen

Popup und TR/Agent.Bl

Popup und Startseitenänderung

HELP I can stop popup

Berechtigungen