Werbepopups nach Installation von Bitgrabber

nexus · 22.01.2007, 18:31

Hallo Leute!

Ich habe seit letzter Woche ein Problem: Letzte Woche habe ich eine Datei (einen Film) mit einem Filesharing-Programm heruntergeladen. Um die Datei allerdings öffnen zu können, musste ich ein spezielles Programm installieren, welches mir das Passwort zur Verfügung stellen sollte, dieses Programm war Bitgrabber. Ich habe es installiert, aber leider zu spät gemerkt, dass es höchstwahrscheinlich Spyware enthält. Darum habe ich sofort wieder deinstalliert. Seitdem habe ich jedoch ein Problem, dass im Internet-Explorer (7) von Zeit zu Zeit Werbepopups erscheinen, und zwar immer wieder die selben (nichts anrüchiges: von Mitsubischi bis T-Online...). Dies ist ziemlich lästig. Ich hoffe, ihr könnt mir weiterhelfen - obwohl ich kein Informatikexperte bin... :-) Nachfolgend die Logfile, welche ich mit HijackThis v1.99.1 erstellt habe:

Logfile of HijackThis v1.99.1
Scan saved at 18:21:57, on 22.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\BCMSMMSG.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\Dell\AccessDirect\dadapp.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Dell\AccessDirect\DadTray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programme\BroadJump\Client Foundation\CFD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\McAfee\MBK\MBackMonitor.exe
C:\Programme\McAfee\MSK\MskAgent.exe
C:\Programme\McAfee\MBK\McAfeeDataBackup.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Mindjet\MindManager 5\sys\PDF\ENU\W2K\PDFSaver.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe
C:\PROGRA~1\McAfee\MSC\mclogsrv.exe
C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe
c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
c:\PROGRA~1\GEMEIN~1\mcafee\redirsvc\redirsvc.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\PROGRA~1\McAfee\MSC\mctskshd.exe
C:\PROGRA~1\McAfee\MSC\mcusrmgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\Programme\McAfee\MSK\MskSrver.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\McAfee\MPS\mps.exe
C:\Programme\McAfee\MPS\mpsevh.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nzz.ch/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\programme\mcafee\virusscan\scriptcl.dll
O2 - BHO: McAfee Popup Blocker - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - c:\programme\mcafee\mps\mcpopup.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [DadApp] C:\Programme\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [VirusScan] c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [MskAgentexe] C:\Programme\McAfee\MSK\MskAgent.exe
O4 - HKLM\..\Run: [McAfee Backup] C:\Programme\McAfee\MBK\McAfeeDataBackup.exe
O4 - HKLM\..\Run: [MBkLogOnHook] C:\Programme\McAfee\MBK\LogOnHook.exe
O4 - HKLM\..\Run: [MP3 HIDE EGGS TONS] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cakeliesmp3hide\Logo Live.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [VoipBuster] "C:\Programme\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [grimmeta] C:\DOKUME~1\Coco\ANWEND~1\INSIDE~1\bind atom.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: MindManager PDF Writer.lnk = C:\Programme\Mindjet\MindManager 5\sys\PDF\ENU\W2K\PDFSaver.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0713E8A2-850A-101B-AFC0-4210102A8DA7} (Microsoft TreeView Control, version 5.0 (SP2)) - http://download.mcafee.com/molbin/shared/COMCTL32/6,0,80,22/ComCtl32.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://bin.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,83/mcinsctl.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: McAfee Application Installer Cleanup (0040251169485898) (0040251169485898mcinstcleanup) - McAfee, Inc. - C:\WINDOWS\TEMP\004025~1.EXE
O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\PROGRA~1\GEMEIN~1\McAfee\EmProxy\emproxy.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MBackMonitor - - C:\Programme\McAfee\MBK\MBackMonitor.exe
O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe
O23 - Service: McAfee Log Manager (McLogManagerService) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mclogsrv.exe
O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\redirsvc\redirsvc.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Task Scheduler (mctskshd.exe) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mctskshd.exe
O23 - Service: McAfee User Manager (mcusrmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcusrmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Privacy Service (MPS9) - McAfee, Inc. - C:\PROGRA~1\McAfee\MPS\mps.exe
O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee Inc. - C:\Programme\McAfee\MSK\MskSrver.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

Vielen herzlichen Dank!!
nexus

**Sunny** · 22.01.2007, 18:36

Hallo.

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\TEMP\004025~1.EXE

* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Außerdem:

Entfernung Swizzor.A

* Als erstes folgende Anleitung gut durchlesen und Schritt für Schritt abarbeiten
-> Entfernung Swizzor.A

* Dann die entsprechenden Einträge fixen, relevant sind bei dir folgende:

Zitat:

O4 - HKCU\..\Run: [grimmeta] C:\DOKUME~1\Coco\ANWEND~1\INSIDE~1\bind atom.exe

* Poste im Anschluss nochmal ein neues Hijacklog

Gruß
Sunny

nexus · 22.01.2007, 20:36

Hallo Sunny!

Vielen Dank für die schnelle Antwort!! Ich schicke nochmals voraus, dass ich absolut kein Experte bin; ich hoffe, dass ich hier alles richtig mache!

Nun denn, mittels Virtustotal habe ich eine einzige Datei bei mir gefunden, welche mit 004025 anfängt, und zwar "0040251169485898mcinst.exe". Diese habe ich dann scannen lassen. Dies ist das Resultat:

Complete scanning result of "0040251169485898mcinst.exe", received in VirusTotal at 01.22.2007, 20:26:38 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.26 01.22.2007 no virus found
Authentium 4.93.8 01.22.2007 no virus found
Avast 4.7.936.0 01.22.2007 no virus found
AVG 386 01.22.2007 no virus found
BitDefender 7.2 01.22.2007 no virus found
CAT-QuickHeal 9.00 01.22.2007 no virus found
ClamAV devel-20060426 01.22.2007 no virus found
DrWeb 4.33 01.22.2007 BACKDOOR.Trojan
eSafe 7.0.14.0 01.21.2007 no virus found
eTrust-InoculateIT 23.73.119 01.22.2007 no virus found
eTrust-Vet 30.3.3343 01.22.2007 no virus found
Ewido 4.0 01.22.2007 no virus found
Fortinet 2.82.0.0 01.22.2007 no virus found
F-Prot 3.16f 01.22.2007 no virus found
F-Prot4 4.2.1.29 01.21.2007 no virus found
Ikarus T3.1.0.27 01.22.2007 no virus found
Kaspersky 4.0.2.24 01.22.2007 no virus found
McAfee 4945 01.22.2007 no virus found
Microsoft 1.1904 01.22.2007 no virus found
NOD32v2 1997 01.22.2007 no virus found
Norman 5.80.02 01.22.2007 no virus found
Panda 9.0.0.4 01.22.2007 no virus found
Prevx1 V2 01.22.2007 no virus found
Sophos 4.13.0 01.20.2007 no virus found
Sunbelt 2.2.907.0 01.22.2007 no virus found
TheHacker 6.0.3.154 01.22.2007 no virus found
UNA 1.83 01.22.2007 no virus found
VBA32 3.11.2 01.22.2007 no virus found
VirusBuster 4.3.19:9 01.22.2007 no virus found

Aditional Information
File size: 289896 bytes
MD5: 31f6847a31b241fc20bf2679098f0849
SHA1: fa6c06d3eae7d145dc7a5dead14079d6cb0cd1ba

Es scheint, als ob er was gefunden hat...
Nun kümmere ich mich noch um Swizzor.A!

**Sunny** · 22.01.2007, 21:06

Mach mal noch folgendes nachdem du den Swizoor entfernt hast:

1.) Filelist.zip

1.) Lade dir die Filelist.zip auf den Desktop
2.) entpacke die Zip-Datei auf deinen Desktop (kostenlose Zip-Tools)
3.) starte deinen Rechner neu auf
4.) öffne die nun auf deinem Desktop vorhandene filelist.bat mit einem Doppelklick auf die Datei
5.) dein Editor (Textverarbeitungsprogramm) wird sich öffnen
6.) markiere von diesen Inhalt aus jedem Verzeichnis jeweils NUR die letzten 30 Tage, wähle kopieren, füge diese Dateien deinem nächsten Beitrag an.

Zitat:

Zitat von Verzeichnisse

* Verzeichnis von C:\
* Verzeichnis von C:\WINDOWS\system
* Verzeichnis von C:\WINDOWS\system32
* Verzeichnis von C:\WINDOWS
* Verzeichnis von C:\WINDOWS\Prefetch
* Verzeichnis von C:\WINDOWS\tasks
* Verzeichnis von C:\WINDOWS\Temp
* Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

2.) Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 1)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Sunny

EDITH:

Moin Felix

felix1 · 22.01.2007, 21:13

Irgendwie finde ich, dass Du ein paar komische Sachen laufen hast. Folge mal den Hinweisen:
Prüfe das System mit F-Secure Blacklight und poste das Logfile.

Prüfe Dein System mit Ewido ewido - anti-spyware and anti-malware solutions Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis, aber bitte lösche vorher aus dem Log alles was mit Cookies zu tun hat.

@Sunny
Hatte nicht mitbekommen, dass Du am Schreiben warst.

nexus · 22.01.2007, 22:10

So, hier mal das neue Hijacklog, nachdem ich Swizoor entfernt habe...

Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-aktive-links-und-persoenliche-informationen-hjt-log-files.html#post171958

danke
GUA

nexus · 22.01.2007, 22:31

Hallo Sunny,

hier noch die Angaben, die ich mittels filelist.zip generiert habe, wie von dir gewünscht (soweit möglich, denn beispielsweis bei c:\ geht es nur heute 22.01.2007 und dann gleich 03.09.2004) :

----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B4D6-787B

Verzeichnis von C:\

22.01.2007 22:18 43 filelist.txt
22.01.2007 22:16 1'073'135'616 hiberfil.sys
22.01.2007 22:16 1'610'612'736 pagefile.sys

Verzeichnis von C:\WINDOWS

22.01.2007 22:17 4'562 ModemLog_BCM V.92 56K Modem.txt
22.01.2007 22:17 1'430'052 WindowsUpdate.log
22.01.2007 22:17 0 0.LOG
22.01.2007 22:17 2'048 BOOTSTAT.DAT
22.01.2007 22:16 32'610 SchedLgU.Txt
22.01.2007 21:30 127'680 ntbtlog.txt
22.01.2007 18:11 899'810 setupapi.log
22.01.2007 01:50 220'332 wmsetup.log
22.01.2007 01:42 202 NeroDigital.ini
18.01.2007 23:00 270'394 COMSETUP.LOG
18.01.2007 23:00 123'673 IIS6.LOG
18.01.2007 23:00 1'374 imsins.log
18.01.2007 23:00 308'176 TSOC.LOG
18.01.2007 23:00 42'575 OCMSN.LOG
18.01.2007 23:00 164'273 ntdtcsetup.log
18.01.2007 23:00 11'883 KB929969.log
18.01.2007 23:00 39'993 MSGSOCM.LOG
18.01.2007 23:00 399'133 OCGEN.LOG
18.01.2007 23:00 801'202 FaxSetup.log
18.01.2007 22:56 102'411 spupdsvc.log
18.01.2007 22:54 54'849 ie7_main.log
18.01.2007 22:54 1'374 imsins.BAK
18.01.2007 22:54 107'124 ie7.log
18.01.2007 22:53 104'939 updspapi.log
18.01.2007 22:51 25'233 IDNMitigationAPIs.log
18.01.2007 22:50 25'021 NLSDownlevelMapping.log
18.01.2007 22:50 18'130 KB915865.log
18.01.2007 22:45 6'019 KB925454.log
18.01.2007 22:42 999 iereseticons.log
18.01.2007 22:41 28'294 ie7Uninst.log
15.01.2007 00:14 54'156 QTFont.qfn
13.01.2007 18:03 200'580 DirectX.log
09.01.2007 07:53 1'452 COM+.log
09.01.2007 07:45 1'409 QTFont.for

Verzeichnis von C:\WINDOWS\system

04.08.2004 08:58 146'944 winspool.drv
[hier gibt's gar nichts aus den letzten 30 Tagen, dies ist der erste Beitrag]

Verzeichnis von C:\WINDOWS\system32

22.01.2007 22:17 22'538 Config.MPF
22.01.2007 22:17 1'170 WPA.DBL
22.01.2007 22:17 20'518 nvModes.001
15.01.2007 21:57 20'518 nvModes.dat
13.01.2007 01:27 9'132 jupdate-1.5.0_10-b03.log
10.01.2007 22:27 16 servdat.slm
10.01.2007 21:59 87 ssprs.tgz
10.01.2007 21:59 73 ssprs.dll
10.01.2007 21:59 219 lsprst7.tgz
10.01.2007 21:59 205 lsprst7.dll
09.01.2007 07:51 382'026 PERFH009.DAT
09.01.2007 07:51 393'086 PERFH007.DAT
09.01.2007 07:51 53'770 PERFC009.DAT
09.01.2007 07:51 64'848 PERFC007.DAT
09.01.2007 07:51 878'264 PerfStringBackup.INI
06.01.2007 03:06 188'200 FNTCACHE.DAT
03.01.2007 00:19 10'980'776 MRT.exe

Verzeichnis von C:\WINDOWS\Prefetch

22.01.2007 22:18 11'222 FIND.EXE-0EEAD1A7.pf
22.01.2007 22:18 11'030 CMD.EXE-034B0549.pf
22.01.2007 22:18 15'480 MCVSMAP.EXE-01348CE1.pf
22.01.2007 22:18 66'774 WUAUCLT.EXE-1360D60A.pf
22.01.2007 22:18 99'006 IEXPLORE.EXE-360BBB5C.pf
22.01.2007 22:18 27'288 ALG.EXE-275708CF.pf
22.01.2007 22:18 33'600 MPSEVH.EXE-37FB309F.pf
22.01.2007 22:18 28'020 MPS.EXE-0BC19397.pf
22.01.2007 22:18 38'024 MCAGENT.EXE-132BAE4F.pf
22.01.2007 22:18 17'286 FXSSVC.EXE-140862E7.pf
22.01.2007 22:18 29'588 WMIPRVSE.EXE-0D449B4F.pf
22.01.2007 22:18 47'498 WGATRAY.EXE-350D4455.pf
22.01.2007 22:18 883'232 NTOSBOOT-B00DFAAD.pf
22.01.2007 22:18 15'026 MCOEMMGR.EXE-1E576297.pf
22.01.2007 22:15 25'524 CSC.EXE-22F6101C.pf
22.01.2007 22:15 5'612 CVTRES.EXE-16681F8A.pf
22.01.2007 22:15 41'550 WINRAR.EXE-1A0EFB18.pf
22.01.2007 22:07 74'974 NOTEPAD.EXE-2F2D61E1.pf
22.01.2007 22:07 20'822 HIJACKTHIS.EXE-34C09F3C.pf
22.01.2007 22:03 44'006 SHOWTIME.EXE-0A85D5A4.pf
22.01.2007 22:03 24'272 MCUIMGR.EXE-00B52D98.pf
22.01.2007 22:02 32'848 RUNDLL32.EXE-6E0E3853.pf
22.01.2007 20:58 45'412 LOGONUI.EXE-312BE1BF.pf
22.01.2007 20:50 16'072 CLEANUP452[1].EXE-0CC59B24.pf
22.01.2007 20:49 20'688 KILLBOX.EXE-290C93C9.pf
22.01.2007 20:48 46'542 MCVSSHLD.EXE-213DD10B.pf
22.01.2007 20:47 88'204 LOGON.SCR-24ADF392.pf
22.01.2007 20:23 17'978 VERCLSID.EXE-28F52AD2.pf
22.01.2007 20:20 14'878 REALSCHED.EXE-0C8249C8.pf
22.01.2007 20:20 62'656 REALPLAY.EXE-03CE29F7.pf
22.01.2007 18:58 47'016 DFRGNTFS.EXE-38C3807C.pf
22.01.2007 18:58 74'510 DEFRAG.EXE-2858C7E2.pf
22.01.2007 18:58 362'828 Layout.ini
22.01.2007 18:36 60'580 MCSHELL.EXE-12D15623.pf
22.01.2007 18:36 123'128 SHAREAZA.EXE-09B15D60.pf
22.01.2007 18:23 58'010 WINWORD.EXE-2F8AFD78.pf
22.01.2007 18:11 124'188 MCINST.EXE-05653E01.pf
22.01.2007 18:11 112'024 MCINSUPD.EXE-1FC8EB29.pf
22.01.2007 18:10 64'358 MCUPDUI.EXE-11F2DF27.pf
22.01.2007 18:10 49'810 MCSVRCNT.EXE-3116AB4F.pf
22.01.2007 18:10 52'712 MCINFO.EXE-39905246.pf
22.01.2007 18:10 34'372 MCSYNC.EXE-08959A8A.pf
22.01.2007 04:22 8'868 BINDAT~1.EXE-1ED400D0.pf
22.01.2007 02:56 27'316 TASKMGR.EXE-06144C13.pf
22.01.2007 02:45 15'888 RUNDLL32.EXE-4EE39BB6.pf
22.01.2007 02:35 47'178 MPFALERT.EXE-3A2E104F.pf
22.01.2007 02:35 57'114 A2FREE.EXE-0973940C.pf
22.01.2007 02:35 14'282 IS-MFF1M.TMP-1EFBA944.pf
22.01.2007 02:35 22'912 ASQUARED00016905.EXE-3616B500.pf
22.01.2007 02:35 10'672 ASQUARED00016637.EXE-072D5DE3.pf
22.01.2007 02:35 70'862 LOGO LIVE.EXE-388BAD1B.pf
22.01.2007 02:32 22'530 _IU14D2N.TMP-3950663B.pf
22.01.2007 02:32 17'424 UNINS000.EXE-2643BB44.pf
22.01.2007 02:32 58'888 A2START.EXE-1F1ECB78.pf
22.01.2007 02:30 5'834 LOGOLI~1.EXE-0C146832.pf
22.01.2007 02:29 18'900 A2UPD.EXE-0B095EC5.pf
22.01.2007 02:26 73'610 SPYBOTSD.EXE-11965456.pf
22.01.2007 02:24 35'832 AD-AWARE.EXE-063A652A.pf
22.01.2007 02:19 20'086 SNDVOL32.EXE-0EC6FD20.pf
22.01.2007 02:17 27'508 RUNDLL32.EXE-43798E96.pf
22.01.2007 02:17 34'502 RUNDLL32.EXE-430322FD.pf
22.01.2007 02:17 62'794 RUNDLL32.EXE-403C9D67.pf
22.01.2007 02:07 22'932 GETPOPUPINFO.EXE-01E7AAF8.pf
22.01.2007 01:54 78'270 WMPLAYER.EXE-017735B5.pf
22.01.2007 01:50 36'844 SETUP_WM.EXE-21CBB822.pf
22.01.2007 01:03 62'154 POWERPNT.EXE-3186F235.pf
22.01.2007 00:43 68'190 MPS.EXE-12640772.pf
22.01.2007 00:37 69'728 RUNDLL32.EXE-6704CAE6.pf
22.01.2007 00:37 77'922 CONTROL.EXE-24FBF8B3.pf
22.01.2007 00:20 39'642 RUNDLL32.EXE-527366BD.pf
22.01.2007 00:15 42'684 MSIEXEC.EXE-330626DC.pf
22.01.2007 00:05 63'778 MCLGVIEW.EXE-31C80018.pf
21.01.2007 22:06 72'362 WMPLAYER.EXE-017735B1.pf
21.01.2007 20:29 31'756 MCSYNC.EXE-284840FA.pf
14.01.2007 23:17 82'834 OUTLOOK.EXE-15A7608B.pf
75 Datei(en) 4'470'744 Bytes
0 Verzeichnis(se), 13'994'569'728 Bytes frei

Verzeichnis von C:\WINDOWS\tasks

22.01.2007 22:17 6 SA.DAT
12.01.2007 21:00 360 mcafee antispyware.job

Verzeichnis von C:\WINDOWS\Temp

22.01.2007 22:18 0 sqlite_NFK51nqxkqMh4bR
22.01.2007 22:18 0 sqlite_kWq259CqBGpTfIe
22.01.2007 22:18 0 sqlite_RfP9FKHZ73CvybD
22.01.2007 22:17 0 sqlite_qgw9tRBQdIa8G92
22.01.2007 22:17 0 sqlite_m6jhrWS3lVPbzkV
22.01.2007 22:17 0 sqlite_xSKQVsHbllubAgg
22.01.2007 22:17 0 sqlite_WymmEHOkQPsybLc
22.01.2007 22:17 0 sqlite_V03F6U98S7VuaYK
22.01.2007 22:17 409 WGANotify.settings
22.01.2007 22:17 0 sqlite_yY6tzKRqHoIHMqy
22.01.2007 22:17 0 sqlite_7KldvVLXl8cWU8S
22.01.2007 22:17 0 sqlite_O1sfTcxhQMg8h2J
22.01.2007 22:17 0 sqlite_zgfmqcKksfxzOJR
22.01.2007 22:17 0 sqlite_mbu8DByflWiRqCM
22.01.2007 22:17 43 WGAErrLog.txt
22.01.2007 22:02 0 sqlite_M9PExRZYSRbbuXP
22.01.2007 22:02 0 sqlite_aOE4eRpsXy99h8A
22.01.2007 22:01 0 T30DebugLogFile.txt
22.01.2007 22:01 0 sqlite_M1wpzzc7MIffHjK
22.01.2007 22:01 0 sqlite_XbDexjsfVSxAWna
22.01.2007 22:01 0 sqlite_szi4GcJ8JzV9mYi
21 Datei(en) 452 Bytes
0 Verzeichnis(se), 13'994'577'920 Bytes frei

Verzeichnis von C:\DOKUME~1\Coco\LOKALE~1\Temp

22.01.2007 22:17 262'144 fb_352.lck
22.01.2007 22:17 16'384 ~DF9FF.tmp
22.01.2007 22:17 533 pcf1.tmp
22.01.2007 22:06 173 jusched.log
22.01.2007 22:01 16'384 ~DFF86A.tmp
5 Datei(en) 295'618 Bytes
0 Verzeichnis(se), 13'994'577'920 Bytes frei

So, das waren alle Angaben - soweit möglich aus den letzten 30 Tagen.

nexus · 22.01.2007, 22:37

Und hier noch das Ergebnis des Scans durch SmitfraudFix:

SmitFraudFix v2.133

Scan done at 22:35:07.95, 22.01.2007
Run from C:\Temp\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Coco

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Coco\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Coco\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

Ich danke Euch jetzt schon mal für Eure wertvolle Hilfe!!

nexus · 23.01.2007, 01:04

Hier noch die Resultate, die ich nach den Vorgaben von felix1 erhalten habe:

Der Scan mit AVG Anti-Spyware 7.5 zeigte nur 4 cookies, die ich der Komplettheit halber trotzdem poste:

---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 00:53:04 23.01.2007

+ Scan-Ergebnis:

C:\Dokumente und Einstellungen\Coco\Cookies\coco@ad.adition[2].txt -> TrackingCookie.Adition : Gesäubert.
C:\Dokumente und Einstellungen\Coco\Cookies\coco@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert.
C:\Dokumente und Einstellungen\Coco\Cookies\coco@php.sales.tfag[1].txt -> TrackingCookie.Tfag : Gesäubert.
C:\Dokumente und Einstellungen\Coco\Cookies\coco@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Gesäubert.

::Berichtende

Was den Systemcheck mit F-Secure Blacklight angeht, bin ich nicht sicher, ob dies das Log ist, das Dir weiterhilft:

01/22/07 22:43:09 [Info]: BlackLight Engine 1.0.55 initialized
01/22/07 22:43:09 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/22/07 22:43:09 [Note]: 7019 4
01/22/07 22:43:09 [Note]: 7005 0
01/22/07 22:43:19 [Note]: 7006 0
01/22/07 22:43:19 [Note]: 7011 1816
01/22/07 22:43:20 [Note]: 7026 0
01/22/07 22:43:20 [Note]: 7026 0
01/22/07 22:43:30 [Note]: FSRAW library version 1.7.1021
01/22/07 22:56:37 [Note]: 7007 0

Darüber hinaus habe ich zuvor einen weiteren Systemcheck auf der Seite Panda ActiveScan durchgeführt, mit folgendem Resultat:

Ereignis Zustand Standort

Adware:adware/statblaster Nicht desinfiziert Windows-Registry
Adware:adware/savenow Nicht desinfiziert Windows-Registry
Adware:Adware/Lop Nicht desinfiziert C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cakeliesmp3hide\Logo Live.exe
[obenstehende Datei habe ich gelöscht]
Adware:Adware/Lop Nicht desinfiziert C:\Dokumente und Einstellungen\Coco\Anwendungsdaten\INSIDE RULE PART\bind atom.exe
[obenstehende Datei habe ich ebenfalls gelöscht]
Spyware:Cookie/YieldManager Nicht desinfiziert C:\Dokumente und Einstellungen\Coco\Cookies\coco@ad.yieldmanager[1].txt
Spyware:Cookie/Doubleclick Nicht desinfiziert C:\Dokumente und Einstellungen\Coco\Cookies\coco@doubleclick[1].txt
Spyware:Cookie/Mediaplex Nicht desinfiziert C:\Dokumente und Einstellungen\Coco\Cookies\coco@mediaplex[1].txt
Spyware:Cookie/WebtrendsLive Nicht desinfiziert C:\Dokumente und Einstellungen\Coco\Cookies\coco@statse.webtrendslive[2].txt
Spyware:Cookie/Tradedoubler Nicht desinfiziert C:\Dokumente und Einstellungen\Coco\Cookies\coco@tradedoubler[1].txt
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\Coco\Desktop\SmitfraudFix\Process.exe

freebird · 17.02.2007, 23:09

Hi,
versuche als erstes mal ein anderes Virenprogramm, oder gleich mehrere.
Es gibt genug freie Proggi's.
Z.B.:
F-Prot
AntiVir

Als nächstes kannst Du einfach den M$ IE V7 neu installieren, da der derzeit alle Nase lang gepacht u. upgedated wird, ist das sowie eine gute Idee, auch ohne Malware.

Mein Virusproggi hat gleich gemeckert, als ich BitGrabber installiert habe.
Ich hatte mir ein *rar runter geladen, woher wohl...
Das File brachte nach dem Entpacken noch ein *rar zum Vorschein. Der Hinweis, dass ein Passwort benötigt wird und wie dies zu Erlangen sei - Installation von BitGrabber- wurde gleich mitgeliefert.
Für mich ist das eine Form von Betrug. Ob nun die MI oder irgendwelche Trittbrettfahrer das ausgeheckt haben iss egal.

Greetz
fb

RAR Password BitGrabber do not install

Werbepopups nach Installation von Bitgrabber

Log-Analyse und Auswertung: Werbepopups nach Installation von Bitgrabber