ständig aufklappende werbung

[yiolanthe]

hallo!
hab seit heut früh ein problem mit ständig aufklappender werbung.die kommt nur über den IE8,den ich aber gar nicht benutze.arbeite immer mit FF.das nervt gewaltig,vorallem erinnere ich mich nicht,irgendwas falsches gemacht zu haben.zuerst wegen bestimmter informationen gegoogelt,aber bloss gelesen und dann bei nexus angemeldet,wegen fallout3 mods.
meine sämtliche sicherheitssoftware zeigt keinen befund.was kann ich da tun?

 

[Docfaustus]

http://www.hijackthis.de/

Mal durchorgeln lassen und auf der hijack Seite das logfile reinkopieren.
Ich wette auf ADDWARE auch wenn deine tools nichts finden.

 

[yiolanthe]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:04:55, on 15.06.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
D:\Windows\System32\smss.exe
D:\Windows\system32\winlogon.exe
D:\Windows\system32\services.exe
D:\Windows\system32\lsass.exe
D:\Windows\system32\Ati2evxx.exe
D:\Windows\system32\svchost.exe
D:\Programme\Microsoft Security Essentials\MsMpEng.exe
D:\Windows\System32\svchost.exe
D:\Programme\Lavasoft\Ad-Aware\AAWService.exe
D:\Windows\system32\Ati2evxx.exe
D:\Windows\Explorer.EXE
D:\Windows\system32\spoolsv.exe
D:\Windows\Nsukya.exe
D:\Programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe
D:\Programme\Sandboxie\SbieSvc.exe
D:\Programme\Microsoft Security Essentials\msseces.exe
D:\Programme\FirefoxPreloader\FirefoxPreloader.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
D:\DOKUME~1\uli\LOKALE~1\Temp\Nbr.exe
D:\Dokumente und Einstellungen\uli\Desktop\Downloads\SoftonicDownloader34177.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2269050
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [MSSE] "D:\Programme\Microsoft Security Essentials\msseces.exe" -hide -runkey
O4 - HKLM\..\Run: [BootNaMir] D:\Programme\Wondershare\Time Freeze\BootSP.exe
O4 - HKCU\..\Run: [M5T8QL3YW3] D:\DOKUME~1\uli\LOKALE~1\Temp\Nbr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Firefox Preloader.lnk = D:\Programme\FirefoxPreloader\FirefoxPreloader.exe
O8 - Extra context menu item: Free YouTube Download - D:\Dokumente und Einstellungen\uli\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm
O8 - Extra context menu item: Free YouTube to Mp3 Converter - D:\Dokumente und Einstellungen\uli\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\Windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\Windows\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1266436460093
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1266439030609
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\Windows\system32\Ati2evxx.exe
O23 - Service: DATA BECKER Update Service (DBService) - DATA BECKER GmbH & Co KG - D:\Programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - D:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - D:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - D:\Windows\system32\UAService7.exe

--
End of file - 4296 bytes

 

[dagobert50gold]

Hast du es denn auch schon auswerten lassen? Nein? Dann habe ich das für dich bei hijackthis.de gemacht und bekomme folgendes:

Was ist das?
-> Nsukya.exe
-> Nbr.exe
-> Wondershare Time Freeze BootSP.exe
-> Nbr.exe

Benutzt du folgendes Programm?
-> Free YouTube to Mp3 Converter

Das hier bitte fixen:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSour...ctid=CT2269050

Das kann von irgendeiner Toolbar kommen, die conduit als Startseite hat. Dann kriegst du Werbung ...

 

[simpel1970]

Die Logfile kannst du auf der von Docfaustus verlinkten Seite auswerten lassen (Logfile in die Textbox kopieren).
Bei der Auswertung findest du einen Eintrag beim IE, den du fixen solltest.

Zusätzlich noch Spybot S&D installieren und suchen lassen.

 

[dagobert50gold]

Bei der Auswertung findest du einen Eintrag beim IE, den du fixen solltest.

Eben! Die Hinweise in meinem Post bitte auch noch beachten!

 

[yiolanthe]

danke erstmals.
den einen punkt hab ich gefixt.zu den fragen,youtube to mp3 converter benutz ich ab und zu,wondershare hab ich mal ausprobiert,ist ähnlich wie sandboxie und find es noch besser.das andere weiss ich im moment auch nicht,muss da mal genauer schauen.ansonsten hab ich eine onlineauswertung gemacht.ist nichts auffälliges.nur ein paar unbekannte prozesse.die guck ich jetzt erstmal genauer an.

 

[Docfaustus]

Folgender Eintrag erscheint mir am seltsamsten.

D:\DOKUME~1\uli\LOKALE~1\Temp\Nbr.exe

Keine normale software installiert sich in diesen Ordner.
Prozess killen und die Datei oder besser den ganzen temp Ordner löschen.

Ich hab die Datei gerade mal gegoogelt.
Normalerweise ist das ein bestandteil von Nero.
Nur wieso in einem temp Ordner unter local settings...

Und weiter gehts im edit :-D

http://www.prevx.com/filenames/2254798604565202381-X1/NBR.EXE.html

Hier wird die Datei als Wurm indentifiziert.

 

[yiolanthe]

ja,nbr.exe gehört zu nero.hab diese datei bei virus total durchlaufen lassen,von 41 scannern gab es 13 meldungen.aber normal lässt die sich nicht löschen,nur mit gewalt. soll ich das machen?oder nero runterschmeissen und neu drauf?

 

[werkam]

Hatte letztens bei einem Freund ein ähnliches Problem, sieh Dir mal die "Tasks" an, diese werden laufend von diesem "Seuchenvogel" gestartet, nachdem ich alle "Tasks" gelöscht habe, die nur aus Zahlenreihen bestanden, war erst mal Ruhe. Danach habe ich alle Flashplayer deaktiviert und von Adobe alles deaktiviert, anschliessend noch alle Programme die autostartend waren (siehe die Liste von Post 4) im abgesicherten Modus, entfernt, die Systemwiederherstellung deaktiveirt, danach neu gestartet. Neue Versionen der Flashplayer installiert und die Adobe Produkte neu installiert, danach war der Rechner wieder bereit ohne Werbung zu laufen. Erst dann habe ich die Systemwiederherstellung wieder aktiviert.
Alles als Administartor gemacht, bis jetzt ist Ruhe.

Aufgefallen ist mit woran es lag, als ich bei Highjack auch die Logdatei habe speichern wollen, diese wird dann im Editor zuerst geöffnet, Taskplaner hat folgede Dateien geöffnet usw...

 

[yiolanthe]

auf alle fälle ist mein hauptproblem nicht wieder aufgetaucht,die aufklappenden werbeseiten.das wird wohl doch an dem einem gelegen haben ,das ich gefixt hatte.aber vorsichtshalber hol ich jetzt meine externe platte mit dem backup aus dem schrank und mach ein restore.ist doch immer wieder die beste lösung.

 

[werkam]

Woran es im Endeffekt gelegen hat weiss ich auch nicht, habe ja nur beschrieben was ich gemacht habe, der Fehler ist bis gestern Abend auch nicht mehr gekommen.