Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Hilfe, PopUps!!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.10.2005, 18:06   #1
jerky
 
Hilfe, PopUps!! - Standard

Hilfe, PopUps!!



hi!

also, auf anraten eines admins eröffne ich hier einen neuen thread, bezüglich des gleichen problems wie hier

das problem besteht darin, dass sich in unperiodischen zeitabständen neue links im firefox öffnen, die u.A so aussehen:

h**p://www.coupon-online.com/normal/yyy34.html
h**p://www.cash-coupon.com/normal/yyy34.html
h**p://www.virtual-coupon.com/normal/yyy34.html
h**p://www.searc-h.com/normal/yyy34.html
h**p://www.super-stock.com/normal/yyy34.html

h**p://e.rn11.com/adbuys/a405-admed-ron

außerdem ist mir aufgefallen, dass seit ich dieses problem hab, ich z.B den StarwindService (treiber für alcohol 120%) im task-manager nicht mehr beenden kann. Auch funktioniert der Unlocker (siehe hier) nicht mehr.

hier mal mein hijack-log:

Code:
ATTFilter
Logfile of HijackThis v1.99.1
Scan saved at 18:56:57, on 22.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
D:\Appz\Internet\NetLimiter\NetLimiter.exe
D:\appz\system\powerstrip\pstrip.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\Appz\Brenner\Alcohol\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
D:\APPZ\INTERNET\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\jerk\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Jet Detection] D:\Appz\System\Soundblaster\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NetLimiter] D:\Appz\Internet\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [PowerStrip] d:\appz\system\powerstrip\pstrip.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Appz\Internet\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\Appz\Internet\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Appz\SONSTI~1\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Appz\Internet\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Appz\Internet\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Appz\SONSTI~1\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Appz\Internet\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Appz\Internet\FlashGet\flashget.exe
O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\ir2sl5f71.dll
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Appz\Brenner\Alcohol\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
         
also meiner meinung befindet da sich nichts ungewöhnliches, bis auf das mir unbekannte:
O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\ir2sl5f71.dll

diese zeile ändert sich allerdings bei jedem neustart & hijack-scan.
ich bin total gefrustet, da ich bis jetzt sämtliche probleme in den griff gekriegt hab, aber hier weiss ich wirklich nicht weiter.
nichts ungewöhnliches im autostart, erfolglose scans mit avg, mcafee & f-prot, sowie spybot & ad-aware. wer kann helfen ?

Alt 22.10.2005, 18:09   #2
Wildone
 
Hilfe, PopUps!! - Standard

Hilfe, PopUps!!



Hallo,
verwende mal folgendes Tool, poste aber nur das zweite Log.


Grüße Wildone
__________________


Alt 23.10.2005, 11:49   #3
jerky
 
Hilfe, PopUps!! - Standard

Hilfe, PopUps!!



Hey!

Also dein gepostetes Tool hat bei mir nichts gebracht, ich hab nach dem Neustart gar kein Log bekommen irgendwie...
Hab mich eben diesem kleinen Tool anvertraut, obwohl ich erst dachte, dass ich jetzt noch mehr von diesem Spyware Zeug kriege. Aber siehe da, alles wieder wunderbar ! Kann das Tool nur jedem empfehlen, der von Look2Me geplagt ist.
__________________

Alt 23.10.2005, 20:29   #4
Gnmpf
 
Hilfe, PopUps!! - Standard

Hilfe, PopUps!!



Herzlichen Glückwunsch mit diesem uninstaller hast Du Look2me die Dir Ihren werbetrojaner auch einpflanzt haben alles über Deinen PC mitgeteilt. Darum wird der Uninstaller von keinem empfohlen...
__________________
a-sap
Member since 2004
Taking back the internet

Alt 25.10.2005, 20:46   #5
chessyger
 
Hilfe, PopUps!! - Standard

Hilfe, PopUps!!



Zitat:
Zitat von Gnmpf
Herzlichen Glückwunsch mit diesem uninstaller hast Du Look2me die Dir Ihren werbetrojaner auch einpflanzt haben alles über Deinen PC mitgeteilt. Darum wird der Uninstaller von keinem empfohlen...
Und was bitte wurde alles mitgeteilt?
Das Tool wirkt aber.


Alt 25.10.2005, 22:25   #6
Gnmpf
 
Hilfe, PopUps!! - Standard

Hilfe, PopUps!!



Wir wissen das es unter anderem überträgt welche Programme Du installiert hast, anscheinend auch Produktkeys. Selbst wenn nicht geht es die TransponderGang nichts an welche Programme installiert sind. Diejenigen die das Tool zu Verfügung stellen haben Dir das Ding erst untergeschoben! Zum Dank dafür spionieren sie Deinen PC aus.
__________________
--> Hilfe, PopUps!!

Alt 25.10.2005, 23:15   #7
dartus
 
Hilfe, PopUps!! - Standard

Hilfe, PopUps!!



Hallo Gnmpf,

kannst Du Deine Aussage in irgendeiner Art und Weise belegen?
Das würde mich sehr interessieren.

dartus
__________________
Kein Support per PN

Alt 26.10.2005, 09:56   #8
Gnmpf
 
Hilfe, PopUps!! - Standard

Hilfe, PopUps!!



Ich bin einer der Trusted Advisor bei www.spywareinfo.com. Der Entwickler des tools L2mfix auf dem Wildone auch verklinkt, hat sich dem "uninstaller" angenommen und folgende Aussage gemacht:
shadowwar:
this thing compiles every piece of information in can find about the pc through the registry. install date.. os type, pc name.. etc.,, looking for more

Wenn Du mehr willst muss ich mich erst mit ihm in verbindung setzen.

Mir allerdings reicht diese Aussage. Ausserdem käme ich nie auf den Gedanken diesen Uninstaller einzusetzen. Eher würde ich meinen PC neuinstallieren.

Es gibt aber andere Wege Look2me in der letzten version loszuwerden. (Bis Shadowwar sein tool upgedated hat)
Der einfachste Weg. Downloade Spysweeper trial und installiere und update es. Unter optionen, sweep optionen alles anhaken. Laufen lassen wenn es nach einem reboot fragt SOFORT neustarten und es ist weg (bis auf einen inaktive .dll)
__________________
a-sap
Member since 2004
Taking back the internet

Alt 26.10.2005, 11:00   #9
Wildone
 
Hilfe, PopUps!! - Standard

Hilfe, PopUps!!



Hallo,
danke für die Info, habe mich mal ein wenig auf spywareinfo.com umgeschaut, dort wird häufig erst lspfix (option1+Log posten) dann Spysweeper dann wieder lspfix (option 2) angewendet, scheint eine ganz erfolgsversprechende Mischung zu sein.

Ich muss aber gestehen dass ich beim lesen der l2mfix logs noch ein wenig schwach auf der Brust bin, weißt du nach was genau man dort suchen muss um eine l2m Infektion zu verifizieren? Nur nach den Dateien, die am Schluß aufgelistet werden?


Grüße Wildone

Alt 26.10.2005, 16:05   #10
Gnmpf
 
Hilfe, PopUps!! - Standard

Hilfe, PopUps!!



jo nur ist es nicht lspfix sondern L2mfix

ALs beispiel nehme ich mal dieses Log:
http://forums.spywareinfo.com/index....9692&hl=L2mfix

Sichtbar ist L2m im HijackThis log :
O20 - Winlogon Notify: Themes - C:\WINDOWS\system32\fpl0033me.dll

Es ist immer ein O20, Winlogon key mit zufälligen beinamen hier:Themes
und einer .dll mit ebenfalls zufälligen Namen. (Gilt nur für Win2k/XP, in WIN98/ME sieht man nichts)

option1 ist zum feststellen der infektion
Dann spysweeper um die infektion zu killen und option2 um die Registryberechtigungen wiederherzustellen und die eine verbleibende inaktive .dll zu löschen.

In diesem fall findest du die .dll immer im Log von option1 wieder:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Themes]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\fpl0033me.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

Weitere Symptome:
User agent mit Random CLSID:
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{4D1278D9-D11D-87B2-D855-C1D95569C645}"=""

Diverse Dateien .dlls mit einer Größe zwischen 230k und 290K und /oder 417K
und zufälligen Dateinamen

In manchen Logs wird unter Locate .tmp Dateien, die guard.tmp angezeigt.

guard.tmp ist ein 100% treffer für L2m.

Lonny geht in diesem fall einen anderen Weg den langen.
In diesem Log gehts wie von Dir beschrieben:
http://forums.spywareinfo.com/index....9440&hl=L2mfix

Ein weiteres merkmal ist das nach dem Fixen mit HijackThis ein neuer O20 im nächsten Log erscheint.
Du wirst es in diesem Topic sehen
http://www.trojaner-board.de/showthread.php?t=23041

Beim scannen mit Ewido/Adaware und demnächst auch Spybot wird L2m angezeigt.
__________________
a-sap
Member since 2004
Taking back the internet

Alt 26.10.2005, 16:48   #11
Wildone
 
Hilfe, PopUps!! - Standard

Hilfe, PopUps!!



Hallo,
Zitat:
jo nur ist es nicht lspfix sondern L2mfix
Ups, richtig, aber zum Glück wußtest du ja was ich meinte.
Danke für deine Mühe, wird es mir sehr erleichtern zukünftig die logs zu lesen, und so wie es aussieht rollt ja gerade eine regelrechte l2me Welle.


Grüße Wildone

Alt 26.10.2005, 19:53   #12
Gnmpf
 
Hilfe, PopUps!! - Standard

Hilfe, PopUps!!



Ja leider nun auch über den deutschsprachigen Raum.

Ich hoffe das shadowwar bald sein standalone tool upgedated hat.
__________________
a-sap
Member since 2004
Taking back the internet

Antwort

Themen zu Hilfe, PopUps!!
avg, desktop, dll, down, einstellungen, excel, explorer, firefox, helfen, hijackthis, icq, internet, internet explorer, locker, logfile, microsoft, neustart, nvidia, popups, programme, rundll, software, system, task-manager, urlsearchhook, windows, windows xp




Ähnliche Themen: Hilfe, PopUps!!


  1. Hilfe: Popups, Virenmeldungen...
    Plagegeister aller Art und deren Bekämpfung - 08.09.2008 (1)
  2. Bitte um HIlfe bei CID : POPUpS
    Log-Analyse und Auswertung - 30.06.2008 (10)
  3. Hilfe! popups........
    Log-Analyse und Auswertung - 20.05.2008 (8)
  4. CID-Popups Hilfe!!
    Log-Analyse und Auswertung - 28.01.2008 (0)
  5. Hilfe Werbe Popups :(
    Log-Analyse und Auswertung - 23.01.2008 (5)
  6. DR/Agent.cuj - und popups? Hilfe.
    Plagegeister aller Art und deren Bekämpfung - 13.01.2008 (1)
  7. CiD PopUps brauche Hilfe
    Plagegeister aller Art und deren Bekämpfung - 29.05.2007 (1)
  8. Popups Hilfe
    Log-Analyse und Auswertung - 08.05.2007 (4)
  9. Hilfe gesucht: langsames www. und Popups
    Plagegeister aller Art und deren Bekämpfung - 04.01.2007 (9)
  10. Lästige PopUps bitte um Hilfe!!
    Log-Analyse und Auswertung - 28.12.2006 (3)
  11. Hilfe PopUps
    Plagegeister aller Art und deren Bekämpfung - 22.08.2006 (2)
  12. Popups - HJT logfile, bitte um hilfe
    Log-Analyse und Auswertung - 21.08.2006 (12)
  13. HILFE, staendig popups...
    Log-Analyse und Auswertung - 26.12.2005 (1)
  14. hilfe gegen popups
    Plagegeister aller Art und deren Bekämpfung - 01.12.2005 (1)
  15. diverse Trojaner + Popups - HILFE!!
    Log-Analyse und Auswertung - 09.06.2005 (5)
  16. Hilfe, ständige Popups und langsamer PC
    Plagegeister aller Art und deren Bekämpfung - 10.04.2005 (5)
  17. Hilfe zu Popups !
    Netzwerk und Hardware - 20.07.2003 (2)

Zum Thema Hilfe, PopUps!! - hi! also, auf anraten eines admins eröffne ich hier einen neuen thread, bezüglich des gleichen problems wie hier das problem besteht darin, dass sich in unperiodischen zeitabständen neue links im - Hilfe, PopUps!!...
Archiv
Du betrachtest: Hilfe, PopUps!! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.