drivecleaner2006

    hallo zusammen,

    habe seit tagen total nervige popups, die ich mit KEINEM programm wegbekomme (norton,avg,adaware etc...habe so ziemlich alles probiert). Die popups nennen sich entweder mit spyware.safesurfing oder drivecleaner...
    norton und symantec finden im moment keine viren, popups sind aber immer noch da...

    weiss jemand was das ist, oder wie ich es losbekomme?

    danke und mfg,

    sue

    hallo, hier das ergebnis von hijackthis. weiss leider nicht, was hier böse ist...


    Logfile of HijackThis v1.99.1
    Scan saved at 01:27:05, on 05.01.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Intel\Wireless\Bin\EvtEng.exe
    C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Acer\Empowering Technology\admServ.exe
    C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
    C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
    C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Programme\Norton AntiVirus\navapsvc.exe
    C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
    C:\Programme\CyberLink\Shared Files\RichVideo.exe
    C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Acer\Acer Arcade\PCMService.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
    C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
    C:\PROGRA~1\LAUNCH~1\LManager.exe
    C:\Acer\Empowering Technology\eRecovery\Monitor.exe
    C:\Acer\Empowering Technology\admtray.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\WINDOWS\system32\wbem\unsecapp.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\System32\Rundll32.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\DOKUME~1\Susanna\LOKALE~1\Temp\RtkBtMnt.exe
    C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
    C:\Programme\MSN Messenger\MsnMsgr.Exe
    C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
    C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
    C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
    C:\Programme\Windows Media Player\wmplayer.exe
    c:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
    C:\WINDOWS\system32\igfxsrvc.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Dokumente und Einstellungen\Susanna\Eigene Dateien\hijack\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [PCMService] "C:\Programme\Acer\Acer Arcade\PCMService.exe"
    O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
    O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
    O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
    O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
    O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
    O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
    O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
    O4 - HKLM\..\Run: [adstart] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\br_rt.dll" DllVerify
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
    O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
    O4 - HKLM\..\Run: [SBRegRebootCleaner] C:\Programme\Sunbelt Software\CounterSpy\SBRC.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: hpoddt01.exe.lnk = ?
    O4 - Global Startup: hp psc 1000 series.lnk = ?
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\http://EXCEL.EXE/3000
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedCo…bin/AvSniff.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedCo…n/bin/cabsa.cab
    O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Sec…loadManager.ocx
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
    O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
    O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
    O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
    O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
    O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
    O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe

    Hi,

    zu Norton bzw. Symantec sage ich jetzt nichts mehr...

    Was aber die nervigen Pop-Up's betrifft: Du wirst sie nie alle blocken können, da sind uns die Kameraden immer ein Stück voraus - leider.

    Eine gute Erweiterung für den FF findest Du hier:

    http://www.erweiterungen.de/detail/Adblock_Plus/

    -GA-

    Susanna fragte:

    Zitat

    habe seit tagen total nervige popups, die ich mit KEINEM programm wegbekomme.


    Antwort:

    Zitat

    O4 - HKLM\..\Run: [adstart] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\br_rt.dll" DllVerify.

    Zitat

    C:\DOKUME~1\Susanna\LOKALE~1\Temp\RtkBtMnt.exe.


    Willkommen im Club der Gutgläubigen - ich befürchte an Menschen wie Du verdienen ganze Geschäftszweige im I-Net...

    Du bist nach meiner Meinung bereits im Vorfeld über den IE mit Ad(Spy)Ware infiziert worden. Desweiteren nutzt Du systembelastende Acer-Helferlein, die nicht wirklich für den alltäglichen Gebrauch notwendig sind.


    a.Lasse die Run Aufrufe in der Registry über MSConfig deaktivieren. (Start > Ausführen > MSConfig > ("Systemstart" und "Dienste" (alle Microsoft-Dienste ausblenden, anschliessend die verbleibende "fremden" Dienste komplett deaktivieren))) und schalte dann die wirklich notwendigen Services sequenziell bezüglich ihrer Systempriorität wieder zu. (Also Minimalstart als Erstversuch).

    b.Lösche alle TEMP-Ordner - auch die versteckten. (die Inhalte, nicht die Ordner selber). CCleaner kann das auch.
    EXE-Dateien in TEMP-Ordnern sind immer verdächtig solange es sich dabei nicht um einen Download-Ordner handelt.


    P.S. Warum betitelst Du Dein Posting mit "DriveCleaner2006"? Hast Du da etwa den "Bock zum Gärtner gemacht"? :wink:


    Oliver

    Hallo oliver,

    danke für deine antwort!!!!
    Nenne diesen thread hier drive cleaner, da sich die popups so nennen... ;)

    bin leider nicht nur gutgläubig, sondern auch ahnungslos...

    wie weiss ich, welches notwendige "Dienste" sind und welches fremde?

    möchte nichts falsches deaktivieren...

    Danke!

    ok, ich werden mein problem ein wenig konkretisieren:

    1)ich habe bei DIENSTE alle, die nicht von microsoft waren deaktiviert. das war kein problem.

    2)Leider erkenne ich bei SYSTEMSTART nicht, welche ich deaktivieren kann und welche nicht, da ich die meisten namen dort nicht kenne.
    (Was ist minimalstart?)

    3)wie wende ich ccleaner an? ich kenne das programm bis jetzt nicht... das heisst wie finde ich alle TEMP ordner?
    und habe gesehen, dass ein TEMP ordner z.B. mit hp dingen gefüllt war, deaktiviere ich so nicht meinen Drucker???

    Vielen Dank für die Hilfe,

    sue[/list]

    Susanna fragte:

    Zitat

    [...]dass ein TEMP ordner z.B. mit hp dingen gefüllt war, deaktiviere ich so nicht meinen Drucker???


    Deine Druckersoftware hat einen eigenen Ordner angelegt, dass erkenne ich aus Deinem Log-File. Es kann sein, dass der Drucker vorübergehend während des Druckprozesses (Generieren des Dokumentes) einige temporäre Daten auslagert, die jedoch gelöscht werden können.

    Zitat

    [...](Was ist minimalstart?


    Wenn Du unter MSConfig die MS-Dienste hast ausblenden lassen, dann bleiben nur die "externen" Anwendungsdienste übrig, die von separat installierten Programmen in die Run-Aufrufe der Registry eingetragen wurden. Wenn Du diese unter MSConfig deaktivierst (Häckchen entfernen), dann hast Du in der Regel einen "puren" Windowsstart. Der Begriff Minimalstart war etwas wiedersprüchlich.

    Nach meiner Meinung hast Du zwei Möglichkeiten:


    a.Versuche unter dem Systemstart-Reiter von MSConfig den [adstart] Eintrag zu finden und zu deaktivieren. Finde der Name klingt schon verdammt verdächtig.

    b.Lösche den [adstart] Eintrag direkt aus dem HJT-Log-File.


    http://research.sunbelt-software.com/threatdisplay.…&threatid=40088

    Lasse danach Dein System einmal von einem Malware-Scanner (nicht drivecleaner2006 :)) durchleuchten - da in den meisten Fällen solche AdWare-Programme bloss als sog. Dropper fungieren und somit weitere Malware über das I-Net "nachladen" können. Für die Erstinfektion wurden vermutlich nur der IE und [adstart] benötigt.


    Oliver