iexplore.exe Popups

[RuL3R]

Ich habe seit einigen Tagen Probleme mit Popups aus dem Internet Explorer (benutze Firefox) an den verschiedensten Situationen: nach dem Booten, beim Spielen, Firefox. Ich habe schon Ad-aware, Spybot, Hijackthis drüberlaufen lassen.


//EDIT:
Spywareblaster, Pest Patrol und BulletProof Spyware/Adware Remover haben auch nichts gebracht.


Hier mal die Auswertung von Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 22:07:48, on 27.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\Programme\Dell\QuickSet\Quickset.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Teamspeak2 2\TeamSpeak.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Apoint\Apntex.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Xfire\Xfire.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\Daemon Tools\daemon.exe" -lang 1033 -noicon
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\Quickset.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [realrdr] C:\DOKUME~1\Daniel\ANWEND~1\REMOTE~1\MessStupid.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Teamspeak RC2.lnk = C:\Programme\Teamspeak2 2\TeamSpeak.exe
O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9AF531BF-5B18-4D41-87B7-C14D7D70F773}: NameServer = 192.168.100.101
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MySql (MySQL) - Unknown owner - C:/mysql/bin/mysqld.exe (file missing)
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - C:\Programme\xampp\service.exe (file missing)

 

[Andy4]

Hm, dein Log schaut eigentlich gut aus. Ich versteh nur nicht, was das hier ist und fand dazu auch nix:
O4 - HKCU\..\Run: [realrdr] C:\DOKUME~1\Daniel\ANWEND~1\REMOTE~1\MessStupid.exe

Deinstallier testweise mal dein WMP 11 Beta.

Das ist zwar schon so gut wie weg, aber lieber gleich auch aus der registry raus hauen:
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - C:\Programme\xampp\service.exe (file missing)

Gruß Andy

 

[RuL3R]

Dieses MessStupid kommt mir auch spanisch vor. Ich hatte es schon ein paar mal mit gelöscht aber es kommt immer wieder. Es wird auch im Autostart und MSConfig aufgelistet.

//EDIT: Ich finde leider keine Uninstall Routine für den WMP11 ^^

 

[Mr. Snoot]

Wo führt denn die Verknüpfung im Autostart hin (oder der Eintrag in der Registry falls vorhanden. Zu finden im Pfad: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run)?

edit: ach, da stehts ja schon

Wie heißt der Pfad denn komplett: ANWEND~1\REMOTE~1 ?

 

[RuL3R]

Der Verweis geht auf

C:\DOKUME~1\Daniel\ANWEND~1\REMOTE~1\MessStupid.exe

Der Ordner heißt "remotefindheck".

Darin befindet sich die Datei "MessStupid.exe". Dazu noch die "namewebhold.exe" und die "ycupbpum.exe"

"MessStupid.exe" lässt sich als einzige Datei nicht löschen.

//EDIT:

Ich habe jetzt MessStupid.exe" nochmal aus dem AutoStart herausgenommen und neu gestartet. Es hat sich automatisch wieder reingeschrieben. Die PopUps sind auch noch da.

 

[Mr. Snoot]

Hm, ist schon merkwürdig, dass man da absolut nichts zu findet bei Google & Co.

Evtl. ein Virus o.ä. der automatisch irgendeinen Namen vergibt, so dass das Ding immer anders heißt. Und wenn da irgendwo noch ein Eintrag in der Registry steckt, der die Datei immer neu erzeugt nützt löschen natürlich nichts.

Schau doch mal, ob in in der Registry in diesen Pfaden verdächtige Eintrge zu finden sind:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnceEx

 

[RuL3R]

Ne, da ist nichts auffälliges zu finden. Ich werde jetzt mal versuchen, die Datei im abgesichterten Modus zu löschen.

//EDIT:
Das Problem scheint wohl beseitigt. Die Datei kommt nicht wieder, und bisher sehe ich noch keine Popups. Seltsam kommt es mir aber trotzdem vor, dass man zu dem Dateinamen nichts bei google findet...

 

[PCB]

Ist Spyware!

Jungs, ihr müsst mal was phantasievoller sein beim Googeln!

MessStupid.exe, fällt euch da gar nichts auf? Sieht man doch sofort, dass die aus 2 Teilen besteht, und wenn man dann so bei Google sucht, kommt man sehr schnell auf diese Seite

Und schon im 1. Abschnitt wird alles klar:"The following applications are not safe to have running on your computer. Most of these files are located in the Application Data folder for the current user."

......MESSDALE.EXE MESSHECK.EXE MESSLOCKS.EXE MESSLOUD.EXE MESSMFCD.EXE
MESSSOAP.EXE MESSWIN.EXE ........

Scheint wohl Spyware zu sein, die sich immer neue Namens-Kombinationen gibt, um den Antispyware-Tools nicht aufzufallen!
Das macht mich dann aber stutzig, RuL3R, dass deine ganze Armada von Scannern da gar nichts gefunden hat!

PCB

 

[Andy4]

Ich könnte mir eines vorstellen. Die Seite, die du verlinkt hast, stellt diese Spyware selber her, und veranschlagt dann das eigene Remove-Tool. Ist doch schon ein guter Zufall oder: ...MESSDALE.EXE MESSHECK.EXE MESSLOCKS.EXE MESSLOUD.EXE MESSMFCD.EXE
MESSSOAP.EXE MESSWIN.EXE ...? Dann noch SuperAdBlocker als Titel. Jedenfalls werde ich die Liste mal an Wintotal schicken, damit sie dort eingetragen wird.

Gruß Andy

 

[RuL3R]

Ich habe bestimmt 5-6 Anti-Spyware Programme ausprobiert. Das einzige, was mir in der Nähe was eingezeigt hat war Hijackthis, das hat den Autostart angezeigt, allerdings hatte das Löschen ja keinen Zweck.