Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: "Tolle" Links und Popups

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 03.02.2005, 21:20   #1
wirkau
 
"Tolle" Links und Popups - Böse

"Tolle" Links und Popups



Hallo Leute,
12 Tage Urlaub, ein paar "Kollegen" die meinen Rechner "nutzen" und jetzt steppt der Bär.
Einige sehr sonderbare Prozesse, die IE-Startseite fliegt immer weg, und wechselnde Popups (u.a. ADS-Spywareremover ). Die mit bekannten Prozesse hab ich mit OK markiert die absolut unbekannten mit ???
Kann wer helfen

Logfile of HijackThis v1.98.2
Scan saved at 20:58:35, on 03.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
??? C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
OK C:\Programme\AVPersonal\AVGUARD.EXE
OK C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
OK C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
OK C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
OK C:\Programme\Analog Devices\SoundMAX\Smax4.exe
OK C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
OK C:\Programme\AVPersonal\AVGNT.EXE
??? C:\WINDOWS\system32\appce.exe
???C:\WINDOWS\system32\ipns.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Schutzsoftware\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\eiczu.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\eiczu.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\eiczu.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\eiczu.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\eiczu.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\eiczu.dll/sp.html#93256
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\eiczu.dll/sp.html#93256
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {726D2B7F-C41E-24A8-CA2E-30DD6D5653C9} - C:\WINDOWS\ipeo.dll
O4 - HKLM\..\Run: [ipns.exe] C:\WINDOWS\system32\ipns.exe


Danke schon mal euch allen!
Gruß
Peter

Alt 03.02.2005, 21:23   #2
chaosman
 
"Tolle" Links und Popups - Standard

"Tolle" Links und Popups



@wirkau
lade dir die aktuelle version von HJT
hier

lade escan
anleitung
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)
scan dauert mindestens 1 stunde
chaosman
__________________

__________________

Alt 03.02.2005, 21:27   #3
wirkau
 
"Tolle" Links und Popups - Standard

"Tolle" Links und Popups



Hallo chaosman,
schon mal DANKE für die schnelle Antwort.
Fange gleich an.
Gruß
Peter
__________________

Alt 04.02.2005, 06:45   #4
wirkau
 
"Tolle" Links und Popups - Unglücklich

"Tolle" Links und Popups



Hallo Leute,
da bin ich wieder. Hier das Ergebnis. Hängt aber noch mal als TXT dran.

Thu Feb 03 21:54:05 2005 => File C:\WINDOWS\autoheal.exe infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
Thu Feb 03 21:54:06 2005 => File C:\WINDOWS\ceres.dll infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
Thu Feb 03 21:54:06 2005 => File C:\WINDOWS\com452.exe infected by "Trojan-Downloader.Win32.Small.afs" Virus. Action Taken: No Action Taken.
Thu Feb 03 21:54:10 2005 => File C:\WINDOWS\mstasks1.exe infected by "Trojan-Downloader.Win32.Small.agy" Virus. Action Taken: No Action Taken.
Thu Feb 03 21:54:44 2005 => File C:\WINDOWS\System32\eakoeee.dll infected by "not-a-virus:AdWare.AdultIt.a" Virus. Action Taken: No Action Taken.
Thu Feb 03 21:55:43 2005 => File C:\WINDOWS\System32\odfyehp.exe infected by "Trojan.Win32.Agent.ay" Virus. Action Taken: No Action Taken.
Thu Feb 03 21:55:45 2005 => File C:\WINDOWS\System32\otmsd.exe infected by "Backdoor.Win32.Agent.ec" Virus. Action Taken: No Action Taken.
Thu Feb 03 21:55:57 2005 => File C:\WINDOWS\System32\sby.exe infected by "Trojan-Downloader.Win32.Zdesnado.gen" Virus. Action Taken: No Action Taken.
Thu Feb 03 21:59:06 2005 => File C:\Burning\Fuer_Ilja\Schutzsoftware\hijackthis_198\backups\backup-20050203-202012-936.dll infected by "Trojan-Downloader.Win32.WinShow.au" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:04:00 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchYexe9.zip infected by "Password-protected-EXE" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:04:41 2005 => File C:\Dokumente und Einstellungen\frank\Anwendungsdaten\oute.exe infected by "not-a-virus:AdWare.PurityScan.w" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:10:06 2005 => File C:\ntdetect.hta infected by "Trojan-Dropper.VBS.Inor.cj" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:01 2005 => File C:\Programme\AVPersonal\INFECTED\AMAX.EXE.VIR infected by "Trojan-Downloader.Win32.Agent.eb" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:01 2005 => File C:\Programme\AVPersonal\INFECTED\DKTIBS.EXE.001 infected by "Trojan-Downloader.Win32.Delf.dg" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:01 2005 => File C:\Programme\AVPersonal\INFECTED\DKTIBS.EXE.002 infected by "Trojan-Downloader.Win32.Delf.dg" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:01 2005 => File C:\Programme\AVPersonal\INFECTED\DKTIBS.EXE.003 infected by "Trojan-Downloader.Win32.Delf.dg" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:01 2005 => File C:\Programme\AVPersonal\INFECTED\DKTIBS.EXE.004 infected by "Trojan-Downloader.Win32.Delf.dg" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:01 2005 => File C:\Programme\AVPersonal\INFECTED\DKTIBS.EXE.VIR infected by "Trojan-Downloader.Win32.Delf.dg" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:01 2005 => File C:\Programme\AVPersonal\INFECTED\DKTIBS[1].HTM.VIR infected by "Trojan-Downloader.Win32.Delf.dg" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:01 2005 => File C:\Programme\AVPersonal\INFECTED\ETILE.EXE.001 infected by "Trojan-Clicker.Win32.Agent.af" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:01 2005 => File C:\Programme\AVPersonal\INFECTED\ETILE.EXE.VIR infected by "Trojan-Clicker.Win32.Agent.af" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:01 2005 => File C:\Programme\AVPersonal\INFECTED\INSTALLER2.EXE.VIR infected by "Trojan-Dropper.Win32.Delf.z" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:02 2005 => File C:\Programme\AVPersonal\INFECTED\MSBB.EXE.VIR infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:02 2005 => File C:\Programme\AVPersonal\INFECTED\MSINFO.EXE.VIR infected by "Trojan-Downloader.Win32.WinShow.am" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:02 2005 => File C:\Programme\AVPersonal\INFECTED\MSTASKS2.EXE.VIR infected by "Trojan.Win32.Favadd.c" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:02 2005 => File C:\Programme\AVPersonal\INFECTED\TOOLBAR.EXE.001 infected by "Trojan.Win32.LowZones.f" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:02 2005 => File C:\Programme\AVPersonal\INFECTED\TOOLBAR.EXE.002 infected by "Trojan.Win32.LowZones.f" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:02 2005 => File C:\Programme\AVPersonal\INFECTED\TOOLBAR.EXE.VIR infected by "Trojan.Win32.LowZones.f" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:02 2005 => File C:\Programme\AVPersonal\INFECTED\XLOLA.ECSTAZY[1].HTM.VIR infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:50:26 2005 => File C:\RECYCLER\S-1-5-21-323552604-226954533-428635543-1204\Dc149\backup-20050203-202012-936.dll infected by "Trojan-Downloader.Win32.WinShow.au" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:50:41 2005 => File C:\System Volume Information\_restore{03D9C15F-3A2C-4898-A364-7B1AC76DDFE5}\RP75\A0062367.hta infected by "Trojan-Dropper.VBS.Inor.cj" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:50:41 2005 => File C:\System Volume Information\_restore{03D9C15F-3A2C-4898-A364-7B1AC76DDFE5}\RP75\A0062368.hta infected by "Trojan-Dropper.VBS.Inor.cj" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:50:48 2005 => File C:\System Volume Information\_restore{03D9C15F-3A2C-4898-A364-7B1AC76DDFE5}\RP76\A0063304.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:53:03 2005 => File C:\WINDOWS\autoheal.exe infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:53:03 2005 => File C:\WINDOWS\ceres.dll infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:53:04 2005 => File C:\WINDOWS\com452.exe infected by "Trojan-Downloader.Win32.Small.afs" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:59:56 2005 => File C:\WINDOWS\Downloaded Program Files\installer_MEDIAWHIZ5.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:59:56 2005 => File C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx infected by "not-a-virus:AdWare.MediaTickets.f" Virus. Action Taken: No Action Taken.
Thu Feb 03 23:05:14 2005 => File C:\WINDOWS\mstasks1.exe infected by "Trojan-Downloader.Win32.Small.agy" Virus. Action Taken: No Action Taken.
Thu Feb 03 23:14:10 2005 => File C:\WINDOWS\system32\eakoeee.dll infected by "not-a-virus:AdWare.AdultIt.a" Virus. Action Taken: No Action Taken.
Thu Feb 03 23:15:16 2005 => File C:\WINDOWS\system32\odfyehp.exe infected by "Trojan.Win32.Agent.ay" Virus. Action Taken: No Action Taken.
Thu Feb 03 23:15:26 2005 => File C:\WINDOWS\system32\otmsd.exe infected by "Backdoor.Win32.Agent.ec" Virus. Action Taken: No Action Taken.
Thu Feb 03 23:15:47 2005 => File C:\WINDOWS\system32\sby.exe infected by "Trojan-Downloader.Win32.Zdesnado.gen" Virus. Action Taken: No Action Taken.

Alt 04.02.2005, 08:48   #5
chaosman
 
"Tolle" Links und Popups - Standard

"Tolle" Links und Popups



@wirkau
ich würde mal zum chef gehen.
du hast vieles im system, der hier
http://www.sophos.de/virusinfo/analy...ojagentec.html
ist der übelste.
Troj/Agent-EC ist ein Backdoortrojaner, der im Hintergrund auf eingehende Verbindungen wartet und remoten Eindringlingen die Steuerung über den infizierten Computer ermöglicht.

Troj/Agent-EC versucht, alle auf dem Computer aktiven Sicherheitsanwendungen zu beenden, und wartet auf Benachrichtigungen, dass neue Updates heruntergeladen und installiert werden können.

deswegen kann ich dir nur empfehlen dein system neuaufzusetzen, da es wahrscheiilich kompromittiert ist.
http://www.mathematik.uni-marburg.de...ompromise.html
hier eine hilfestellung
http://www.trojaner-board.de/showpos...28&postcount=2

sry
chaosman

__________________
Bonus vir semper tiro

Antwort

Themen zu "Tolle" Links und Popups
about, bho, bla, c:\windows, dll, drivers, explorer, hijack, hijackthis, internet, internet explorer, leute, links, microsoft, nutzen, popup, popups, programme, prozesse, rechner, rundll, seite, system, system32, urlsearchhook, windows, windows xp, windows\system32\drivers




Ähnliche Themen: "Tolle" Links und Popups


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. "cdncache-a.akamaihd.net" - PopUp's, Werbebanner und "click to continue"-Links
    Plagegeister aller Art und deren Bekämpfung - 16.04.2014 (39)
  3. Statt angeklicktem Links (via Buttons z. B. "weiter") öffnet sich Avira-Werbewebsite
    Plagegeister aller Art und deren Bekämpfung - 20.03.2014 (1)
  4. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  5. "Antiviren Werbung" "Langsamer PC" "PC stürzt ab" Banner und Popups beim surfen
    Plagegeister aller Art und deren Bekämpfung - 05.11.2013 (28)
  6. Win 7: "donedrive.net" lässt Fenster und Links erscheinen
    Log-Analyse und Auswertung - 28.09.2013 (15)
  7. "NAV-Links" und "Certified-Toolbar (Search)" rauben mir den letzten Nerv! Was tun?
    Log-Analyse und Auswertung - 23.08.2013 (8)
  8. "The document has moved. Redirecting"+"Popup unten rechts"+"Nicht alle Links anklickbar"
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (38)
  9. Weiterleitung von Google-Links auf z.B. "vuwl directory" oder ähnliche Seiten
    Plagegeister aller Art und deren Bekämpfung - 17.12.2011 (18)
  10. Google-Links werden auf "100ksearches.com" weitergeleitet!
    Plagegeister aller Art und deren Bekämpfung - 23.07.2011 (27)
  11. Weiterleitung von Google-Links auf z.B. "k-directory.co.uk" oder ähnliche Seiten
    Plagegeister aller Art und deren Bekämpfung - 19.11.2010 (21)
  12. Google öffnet "falsche Links", hatte ANTIVIRUS GT
    Plagegeister aller Art und deren Bekämpfung - 18.09.2010 (18)
  13. Hilfe! Avir findet "tolle Sachen" ADSPY/Mostofate.CX,TR/Stuh.A,TR/Vundo.Gen
    Plagegeister aller Art und deren Bekämpfung - 02.04.2009 (10)
  14. Google links "gefaket" und Explorer langsam
    Plagegeister aller Art und deren Bekämpfung - 28.09.2008 (0)
  15. Langsames Internet, falsche Links in Suchmaschinen, "Anzeige" eingeschränkt
    Plagegeister aller Art und deren Bekämpfung - 26.09.2008 (9)
  16. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  17. ">"">><meta http-equiv="Refresh" content="0;url=http://askimizsonsuza.com/code/">"">
    Plagegeister aller Art und deren Bekämpfung - 04.09.2006 (4)

Zum Thema "Tolle" Links und Popups - Hallo Leute, 12 Tage Urlaub, ein paar "Kollegen" die meinen Rechner "nutzen" und jetzt steppt der Bär. Einige sehr sonderbare Prozesse, die IE-Startseite fliegt immer weg, und wechselnde Popups (u.a. - "Tolle" Links und Popups...
Archiv
Du betrachtest: "Tolle" Links und Popups auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.