Supportnet / Forum / PC-Sonstiges
Adware oder Spyware?
Frage
Hallo!
Ich habe folgendes Problem und würde gerne wissen ob jemand ähnliches kennt und wie man´s behebt!
Ich muss wohl irgendein kleines Programm installiert haben das folgendes bewirkt!
Jedes mal wenn ich den Rechner hochfahre (XP Home), öffnet sich emule und ein Rar-Archiv Namens "(PC Online Games) Casinos Online...usw." (16kb) wird gedownloadet, was sehr nervig ist!
Es ist nichts im Autostart und im Systemkonfigurationsprogramm hab ich auch schon versucht alles zu deaktivieren..Emule wird trotzdem geöffnet! Auch habe ich schon versucht Emule runterzuwerfen und neu runterzuladen! Passiert trotzdem! Kennt das jemand?
Wär schön wenn mir jemand helfen kann..is zwar nicht das Megaproblem, aber wer weiss was da im Hintergrund passiert!
Ach so..mein Anti Adware und Anti Viren Scan hat weder was signalisiert noch was gefunden! Wo könnte sich das Programm befinden..
Danke schönmal..
Grüsse
Andy
Antwort 1 von greg68
Hallo,
1.)lade dir mal Hijackthis herunter von www.hijackthis.de . Mach dann einmal einen scan damit. Geh dann zurück nach www.hijackthis.de und kopiere den Inhalt des Logfiles in das Auswertefenster. Schau dir an was Hijackthis als schädlich auswertet. Du kannst dann nach erneutem Scan das Problem "fixen". Tipp: am besten die Systemwiederherstellung deaktivieren und im abgesicherten Modus "fixen". Neustart und Systemwiederherstellung aktivieren. So solltest Du am besten immer verfahren wenn Du derartige Scans machst.
2.) Suche nach einer Datei, die sich Popupper.exe, popup.exe o.ä. schimpft. Umbennenen und schauen ob das Problem noch besteht wen nein, diese Datei löschen. In diesem Fall ist es trotzdem ratsam Punkt2 durchzuführen.
3.) Das tool Spybot SD herunterladen, aktualisieren und wie in 1 vorgehen (ab Tipp)
Viel Erfolg
1.)lade dir mal Hijackthis herunter von www.hijackthis.de . Mach dann einmal einen scan damit. Geh dann zurück nach www.hijackthis.de und kopiere den Inhalt des Logfiles in das Auswertefenster. Schau dir an was Hijackthis als schädlich auswertet. Du kannst dann nach erneutem Scan das Problem "fixen". Tipp: am besten die Systemwiederherstellung deaktivieren und im abgesicherten Modus "fixen". Neustart und Systemwiederherstellung aktivieren. So solltest Du am besten immer verfahren wenn Du derartige Scans machst.
2.) Suche nach einer Datei, die sich Popupper.exe, popup.exe o.ä. schimpft. Umbennenen und schauen ob das Problem noch besteht wen nein, diese Datei löschen. In diesem Fall ist es trotzdem ratsam Punkt2 durchzuführen.
3.) Das tool Spybot SD herunterladen, aktualisieren und wie in 1 vorgehen (ab Tipp)
Viel Erfolg
Antwort 2 von snliebhaber
Das siehtganz nach einem Trojaner aus. Abhilfe?
Probier es mal mit HiJackThis, poste dein Logfile, oder lasse es selbst auswerten. Aber wer auf Emule setzt, muß sich bewusst sein, daß "nervige" Dinge passieren.
Probier es mal mit HiJackThis, poste dein Logfile, oder lasse es selbst auswerten. Aber wer auf Emule setzt, muß sich bewusst sein, daß "nervige" Dinge passieren.
Antwort 3 von ndeeG
Alles klar..werds mal testen..danke erstmal;-).
Antwort 4 von ndeeG
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
c:\progra~3\mcafee\mcafee antispyware\massrv.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~3\mcafee.com\vso\mcshield.exe
c:\PROGRA~3\mcafee.com\agent\mctskshd.exe
C:\PROGRA~3\McAfee.com\PERSON~1\MpfService.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\PROGRA~3\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~3\McAfee\SPAMKI~1\MSKSrvr.exe
C:\Programme\hijackthis_199[1]\HijackThis.exe
O2 - BHO: McAfee AntiPhishing Filter - {41D68ED8-4CFF-4115-88A6-6EBB8AF19000} - c:\programme\mcafee\spamkiller\mcapfbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~3\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] ed2k://|file|[%20GAMES%20ON%20LINE%20]%20Casino%20Europa,%20Vegas,%20Tropez,%20Del%20Rio,%20Poker,%20On%20Net%20-By%20BARROS@-.rar|17171|CDB4B969EE0DDE78FA2ADE5A84D2AF31|h=CW23FVZ5YBUDZ5LH56WJCBEEAJ2EJA5K|/
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~3\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~3\McAfee\SPAMKI~1\MSKDetct.exe /startup
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~3\McAfee\SPAMKI~1\MskAgent.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~3\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~3\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~3\mcafee.com\agent\mcagent.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [lycosInside] C:\Programme\lycos\Lyc_SysTray.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra ´Tools´ menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\programme\mcafee\spamkiller\mcapfbho.dll
O9 - Extra ´Tools´ menuitem: McAfee AntiPhishing Filter - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\programme\mcafee\spamkiller\mcapfbho.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra ´Tools´ menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra ´Tools´ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15026/CTSUEng.cab
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
c:\progra~3\mcafee\mcafee antispyware\massrv.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~3\mcafee.com\vso\mcshield.exe
c:\PROGRA~3\mcafee.com\agent\mctskshd.exe
C:\PROGRA~3\McAfee.com\PERSON~1\MpfService.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\PROGRA~3\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~3\McAfee\SPAMKI~1\MSKSrvr.exe
C:\Programme\hijackthis_199[1]\HijackThis.exe
O2 - BHO: McAfee AntiPhishing Filter - {41D68ED8-4CFF-4115-88A6-6EBB8AF19000} - c:\programme\mcafee\spamkiller\mcapfbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~3\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] ed2k://|file|[%20GAMES%20ON%20LINE%20]%20Casino%20Europa,%20Vegas,%20Tropez,%20Del%20Rio,%20Poker,%20On%20Net%20-By%20BARROS@-.rar|17171|CDB4B969EE0DDE78FA2ADE5A84D2AF31|h=CW23FVZ5YBUDZ5LH56WJCBEEAJ2EJA5K|/
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~3\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~3\McAfee\SPAMKI~1\MSKDetct.exe /startup
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~3\McAfee\SPAMKI~1\MskAgent.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~3\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~3\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~3\mcafee.com\agent\mcagent.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [lycosInside] C:\Programme\lycos\Lyc_SysTray.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra ´Tools´ menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\programme\mcafee\spamkiller\mcapfbho.dll
O9 - Extra ´Tools´ menuitem: McAfee AntiPhishing Filter - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\programme\mcafee\spamkiller\mcapfbho.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra ´Tools´ menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra ´Tools´ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15026/CTSUEng.cab
Antwort 5 von ndeeG
Also..irgendwelche Pop.exe o.ä. hab ich nicht gefunden..aber das ist der HijackThis Logfile..
Unten hab ich was gefunden mit Casinos usw..das wird wohl sein, aber wenn ich´s löschen will kommt "An error occured..." und es löscht sich nicht! Oder findet ihr was anderes? Ich hab einige gelöscht weil der Post sonst die maximale Zeichenanzahl überschritten hätte..aber die waren ganz sicher kein Problem
Thankx
Andy
Unten hab ich was gefunden mit Casinos usw..das wird wohl sein, aber wenn ich´s löschen will kommt "An error occured..." und es löscht sich nicht! Oder findet ihr was anderes? Ich hab einige gelöscht weil der Post sonst die maximale Zeichenanzahl überschritten hätte..aber die waren ganz sicher kein Problem
Thankx
Andy
Antwort 6 von greg68
hast Du es im abgesicherten Modus versucht? Hintergrund: im abgesicherten Modus werden nur die wichtigsten Treiber geladen. Könnte sein, dass der Prozess sich nicht löschen ließ weil er im normalen Modus gestartet ist
was sagt den Spybot SD?
was sagt den Spybot SD?
Antwort 7 von uwei
Wenn du was löschen willst, gehe beim Start von Hijackthis auf "Open the Misc Tools section" und wähle die Datei bei "delete a file on reboot".
Antwort 8 von ndeeG
So..jetzt hab ich alles durchprobiert..aber leider..ist es immer noch da..hm..
Problem bei deinem Tipp Uwei ist das ich dann nur alles löschen kann..aber das sollte ich ja nicht tun oder?
Problem bei deinem Tipp Uwei ist das ich dann nur alles löschen kann..aber das sollte ich ja nicht tun oder?
Antwort 9 von ndeeG
Ok..hab das Problem auf ne andere Art gelöst..
einfach im Registrierungs-Editor nach "Casino" gesucht und den Eintrag direkt gelöscht..jetzt kommt nichts mehr!
Danke euch..
Greetz
Andy
einfach im Registrierungs-Editor nach "Casino" gesucht und den Eintrag direkt gelöscht..jetzt kommt nichts mehr!
Danke euch..
Greetz
Andy
Antwort 10 von snliebhaber
Ist die Malware "vsnp2std.exe" mit dem Löschen auch schon weg?
Antwort 11 von ndeeG
Ähh..nein..ich hab gerade danach gesucht, aber da steht das sei eine "CameraMonitor Application"! Sicher das es Malware ist?
Antwort 12 von snliebhaber
Na ja, sofern man den diversen Links über Google glauben kann ist es Malware.
Guck dir diese .exe halt mal näher an.
Ich will dir keine Panik machen, aber jeder Trojaner kann Müll immer wieder nachziehen. Solange du Emule brauchst, wirst du mit gewissen Problemen rechnen müssen. Mehr sag ich zur Sache nicht.
Guck dir diese .exe halt mal näher an.
Ich will dir keine Panik machen, aber jeder Trojaner kann Müll immer wieder nachziehen. Solange du Emule brauchst, wirst du mit gewissen Problemen rechnen müssen. Mehr sag ich zur Sache nicht.
Antwort 13 von ndeeG
Na ja..ich habs einfach mal gelöscht..
Thx..
Andy
Thx..
Andy