Hilfe bei bzw. gegen Spyware

    Einen schönen guten Tag...

    Ich hab da folgendes Problem.

    Ich bekomm immer, so ein Pop-up-Fenster und das nervt mich echt, weil es mittlerweile fast jede Minute erneut auftaucht.

    [Blockierte Grafik: http://groups.msn.com/_Secure/0QAAhA…521896542549150]

    Dieses jenige da oben...

    Ich hab auch schon mit Ad-Aware Se geguckt, da werden mir immer und immer wieder 5 kritische Infektionen angezeigt die ich nicht weg bekomme.
    Sieht dann so aus, ich kann es immer in Quarantäne packen und removen, aber dat is immer wieder da. Nach jedem Scanvorgang.

    [Blockierte Grafik: http://groups.msn.com/_Secure/0RgCRA…521897784271917]

    Ich hab auch schon mal mit dem HiJackThis geguckt, aber ich steig da als Laie nicht durch was es sein könnte.
    Mich nervt es richtig das ich es nicht in den Griff bekomme.

    Vielleicht kann mir hier ja jemand helfen.
    Ich poste dann auch mal das Ergebnis vom HiJackThis

    Logfile of HijackThis v1.99.1
    Scan saved at 12:23:04, on 11.05.2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\ATI-CPanel\atiptaxx.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
    C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
    C:\Programme\Winamp\winampa.exe
    C:\Programme\Creative\Shared Files\CAMTRAY.EXE
    C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
    C:\PROGRA~1\mcafee.com\agent\mcagent.exe
    C:\PROGRA~1\McAfee.com\Agent\McRegWiz.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\MSN Messenger\MsnMsgr.Exe
    C:\Programme\McAfee\McAfee QuickClean\Plguni.exe
    C:\Programme\MSI\Bluetooth Software\BTTray.exe
    C:\Programme\Stardock\ObjectDock\ObjectDock.exe
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\PROGRA~1\MSI\BLUETO~1\BTSTAC~1.EXE
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
    C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
    C:\Dokumente und Einstellungen\R@ge\Eigene Dateien\HiJack\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/d…://www.yahoo.de
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.knuddels.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/d…://www.yahoo.de
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.rd.yahoo.com/customize/ie/d…rch/search.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/d…://www.yahoo.de
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/d…://www.yahoo.de
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
    O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
    O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
    O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
    O4 - HKLM\..\Run: [McRegWiz] C:\PROGRA~1\McAfee.com\Agent\McRegWiz.exe /autorun
    O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitenrb32.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
    O4 - HKCU\..\Run: [McAfee QuickClean Imonitor] C:\Programme\McAfee\McAfee QuickClean\Plguni.exe /START
    O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] C:\Programme\Purgatio Pro\checker.exe /check
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
    O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
    O4 - Global Startup: BTTray.lnk = ?
    O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\MSI\Bluetooth Software\btsendto_ie_ctx.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
    O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
    O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
    O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe…pDownloader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{0DF553B0-F20A-4292-83E2-4D94544A04C0}: NameServer = 217.237.148.65 217.237.148.33
    O17 - HKLM\System\CS1\Services\Tcpip\..\{0DF553B0-F20A-4292-83E2-4D94544A04C0}: NameServer = 217.237.148.65 217.237.148.33
    O17 - HKLM\System\CS2\Services\Tcpip\..\{0DF553B0-F20A-4292-83E2-4D94544A04C0}: NameServer = 217.237.148.65 217.237.148.33
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
    O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Networks Associates Technology, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    [/img]

    Hallo R@ge,

    na das Logfile sieht doch nicht schlecht aus...was ist BTTray und elitenrb32.exe?

    Hast du zwei Virnschutzprogramme instaliert oder habe ich etwas falsch interpretiert?

    H+BEDV und McAfee

    Du hast den IrfanView mit der ebay-bar, diese ebay-bar ist unnötig...oder klickst du das gerne so an?

    Spybot Search&Destroy kann ich dir empfehlen. Das ist Freeware, teste das mal.

    ADS1 gibt es in harmlos (deinen ersten Link bereffend) aber auch als SEXSEITEN.COM...

    Dein zweiter Link ist, sorry, "scheiße"..Ebates MoneyMaker..versuche mal mit Spybot, klappt es nicht melde dich sofort wieder...

    Hallo kaiserfive,

    BTTray is mein Bluetooth

    elitenrb32.exe :oops: Keine Ahnung

    Das McAfee hab ich mir geladen, weil mein AntiVir nicht mehr funktioniert und ich den auch nicht gelöscht bzw. geupdatet kriege, warum weiß ich allerdings auch nicht.

    Also das mit der Ebay-Bar kann weg?? Ich klick da nie rum

    So harmlos scheint dieses ADS1Teil ja nicht zu sein wenn es mich ewig nervt.

    Mein kleiner Bruder war am Pc und der sagte mir natürlich nicht wo wer gesurft hat. Von daher weiß ich nicht ob das so ein SEXSEITEN.COM dingen ist.

    Ich versuch das nun mal mit dem Spybot

    Danke erst einmal.....


    R@ge

    Ich hab nun mal Spybot durchlaufen lassen...

    Resultat: Alexa Resu....

    Nach nochmaligen Durchlauf alles ok...

    Was kann ich noch machen????

    Kann ich bei dem MoneyMaker dingen da nicht in die Registy rein und das da alles löschen was mit dem LQ ist?
    Ich weiß nämlich nicht was das ist....

    [Blockierte Grafik: http://groups.msn.com/_Secure/0RAAdAwoTVIYg8npu4BW3FC0G0fQwvJmyAN2eRb*sLM0mz4L90NxetdKSF7qbQa*x4YIFPg!HMkArpNEydKOyAN943nApCjlOrRgl314BpJs/reg.JPG?dc=4675521902395126104]

    [/img]

    Anstatt das hier leider immer noch angepriesene veraltete HiJackTHis solltest Du mal das NEUE hijackfree ausprobieren.
    Wesentlich Benutzerfreundlicher und er zeigt das Ergebnis sofort an, ohne da sman erst das LOG auf eine Website transferieren muß.
    Dazu noch farblich unterlegt, sodas auch eine Laie sofort sieht, welche Programme eine Gefahr darstellen können.
    Es ist FREEWARE. Kann ich nur wärmstens empfehlen.

    Aus dem Link von kaiserfive:
    "- abgesicherten Modus
    -ad aware
    -mit autoruns aus dem registry gelöscht
    - system32 verzeichnis alle dateien elite*.* gelöscht"
    Fixe mit HijackThis diesen Eintrag:
    O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitenrb32.exe
    Den Ordner LQ in der Registry mal sichern( Rechtsklick, exportieren) und dann in der Registry löschen( immer noch im abgesicherten Modus). Wenn nach Neustart alle Programme ordnungsgemäß laufen kannst du die Sicherungsdatei auch löschen.
    Noch was allgemeines - ich erkenne keinerlei installiertes Servicepack auf deinem Rechner, hast du keins installiert? Nicht gut!
    Java ist nicht auf dem neuesten Stand, solltest mal bei Sun die neueste Version laden.

    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!

    Hallo und Guten Abend....


    Folgendes Problem... Ich kann zwei Einträge nicht "fixen" im HiJackThis..

    O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
    O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe


    Wer kann mir da helfen???

    hallo R@ge,

    den Newdot eintrag habe ich nur mit der Microsoft Antispyware weg bekommen. Woher ich das teil hatte :?: Ich habe es auch mit Adawre und Spybot versucht, nada. Ging wirklich nur mit dem MS teil (ist freeware).

    gruss
    snowflake

    Wer getragen wird, weiss nicht, wie weit die Stadt entfernt ist.
    (afrikanische Weisheit)

    Hiho, wieso willste rundll32 ncith starten lassenß das is ein recht praktische Progie , dass DLL Daten ausführen kann!

    hier sind einige Befehle aufgelistet, die nur mit rundll32 funzen, also die man nur damit aufrufen kann!

    und hier sind eingie Kommentare zu rundll32 aufgelistet! Wenn du english kannst dann sind die recht interessant! muss mal gucken!

    wenn du es trotzdem weg ahben willst, dann könnteste meiner Ansicht nach mit RegCleaner dieses programm aus der StartUp-Liste nehemn und dann is es weg, oder du wartest noch ein bissl, dann sag ich dir, wo du das aus der Registrierung nehmen kannst! ;) Denn für mich heißt dieses
    "[New.net Startup]", dass dich das rundll32 stört, dass es automatisch startet!

    Vllt hab ich es jetzt auch wieder voll vrekackt, muss mal gucken, is schon etwas spät :oops:

    nichts gegen die Amis, aber:
    - Das Pfeifen unter Wasser ist in Florida verboten.
    - In Oklahoma ist das Erschrecken von Hunden durch Grimassenschneiden verboten.
    - In Tennessee ist es gesetzlich verboten, Fische mit dem Lasso zu fangen.
    nihct nciht ncith cnith nicth -> alles das Selbe: NICHT dieses Wort is mir einfach zu komplex!

    Newdotnet löscht man über Systemsteuerung/Software. Wenn man das anders löscht ist es warscheinlich das es dir die Winsock zerhaut und du nicht mehr ins Web kommst.

    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!