IE PopUp shadowww.com

ShrinersPark · 29.11.2005, 08:10

Hi!

Ich bekomme seit gestern etwa alle 10 Minuten ein IE PopUp der Seite h**p://www.shadowww.com (irgendwas russisches)

Habe bereits VirusScan, Ad-Aware und Spybot laufen lassen, aber keiner findet was. Abgesehen davon, daß es nervig ist, weiss ich nicht, ob es auch noch andere un-nette Dinge im Hintergrund treibt.

Könnt Ihr helfen?

Danke,
Shriners*

stupormundi · 29.11.2005, 08:19

Bitte deaktiviere den link!
Und poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier!
stupormundi

ShrinersPark · 29.11.2005, 08:28

hALLO;

und wie deaktiviere ich den link ?

danke,

Frauke*

stupormundi · 29.11.2005, 08:30

Mit dem Button 'editieren' rechts unten am Beitragsfenster
Deaktivieren durch editieren wie in meiner Signatur beschrieben!
stupormundi

ShrinersPark · 29.11.2005, 08:49

Hi!

Das aktuelle Log:

Logfile of HijackThis v1.99.1
Scan saved at 08:35:04, on 29.11.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINNT\System32\ni_nic.exe
C:\WINNT\System32\NMSSvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wm.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\msping.exe
C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
C:\WINNT\System32\hkcmd.exe
C:\WINNT\System32\dpmw32.exe
C:\WINNT\system32\NWTRAY.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AOL 9.0a\aoltray.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\AOL 9.0a\waol.exe
C:\Programme\Microsoft Office\Office\1031\wfxmsrvr.exe
C:\PROGRA~1\MICROS~2\Office\1031\OLFMOD32.EXE
C:\Programme\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\user\Desktop\HijackThis.exe

O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} -
C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio -
{8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -
c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [DrvLsnr] C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [NDPS] C:\WINNT\System32\dpmw32.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common
Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network
Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe"
-atboottime
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame
Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched]
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame
Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe"
/background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search &
Destroy\TeaTimer.exe
O4 - Startup: Astrum.url
O4 - Startup: Microsoft Outlook (3).lnk = C:\Programme\Microsoft
Office\Office\OUTLOOK.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O8 - Extra context menu item: &Google-Suche -
res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen -
res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite -
res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten -
res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten -
res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} -
C:\Programme\AIM95\aim.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control
(redist)) - h**p://10.147.38.33/msrdp.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) -
h**p://142.22.58.150/activex/AxisCamControl.cab
O16 - DPF: {C4847596-972C-11D0-9567-00A0C9273C2A} (Crystal Report Smart Viewer
7) -
h**p://10.148.15.205/spxweb/spxweb/ma/reports/ActiveXViewer/ActiveXViewer.cabO17 -
HKLM\System\CCS\Services\Tcpip\..\{7B01F9E1-95AC-4461-9C9C-7FAE4F0CBB73}:
NameServer = 205.188.146.145
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. -
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany -
C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) -
VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner -
C:\Programme\Network Associates\Common Framework\FrameworkService.exe"
/ServiceStart (file missing)
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. -
C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network
Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Intel Client Instrumentation for DMI (ni_nic) - Intel® Corporation -
C:\WINNT\System32\ni_nic.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation -
C:\WINNT\System32\NMSSvc.exe
O23 - Service: Pml Driver HPZ12 - HP -
C:\WINNT\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog
Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Novell Workstation Manager (WM) - Novell, Inc. -
C:\WINNT\System32\wm.exe

stupormundi · 29.11.2005, 09:09

Servus!
Lass´ mal diese Datei

Zitat:

C:\WINNT\system32\msping.exe

bei http://virusscan.jotti.org/de prüfen und poste das Ergebnis anschließend hier. Falls Du eine Fehlermeldung (0 bytes ...) bekommst, beende den zur Datei gehörenden Prozess und/oder deaktiviere temporär Deine Personal FireWall.
Sollte beides nichts bringen, kopiere die Dateien in ein anderes Verzeichnis, benenne sie um und versuche es damit. Zum Auffinden versteckter Dateien nutze den link in meiner Signatur
stupormundi

ShrinersPark · 29.11.2005, 09:25

Auslastung: 0% 100% Datei: msping.exe Status: VIELLEICHT INFIZIERT/MALWARE (Anmerkung: Diese Datei wurde lediglich durch die heuristische Detektion als Malware angezeigt. Die Ergebnisse des Scans werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: UPX
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web BACKDOOR.Trojan gefunden (mögliche Variante)
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 probably unknown NewHeur_PE gefunden (mögliche Variante)
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

stupormundi · 29.11.2005, 09:32

Hm, ich hatte mir eigentlich ein eindeutigeres Ergebnis erwartet. Folge mal dieser Anleitung http://www.trojaner-board.de/showthread.php?t=19273 und sende die Datei wie beschrieben an ein paar der angegebenen Adressen. Hier wird die Antwort allerdings etwas dauern. Poste die Antworten anschließend hier!
Sollte das nämlich - wie ich anfangs vermutet habe - ein Backdoor sein, wird eine Bereinigung nicht sinnvoll sein. Der Aufwand zur Klärung lohnt also!
stupormundi

ShrinersPark · 29.11.2005, 11:15

Die ersten Antworten sind schon da:

Dear ShrinersPark@aol.com,

Your request has been analyzed. New virus record has been added.
Trojan.Click.792

Thank you for the cooperation.

--
Yours sincerely,
Virus Monitoring Service Doctor Web Ltd.
-------------------------------------------------------------
Hi

Actually this is surely a bad software, but yet goes undetected for most AV software.

It's some upx packed exe that creates the following registry auto-run key.

HKEY_LOCAL_MACHINE Name of Subkey: SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

Name of Value: msping.exe Content: C:\WINNT\System32\msping.exe

So you should delete them of course, as well as the File it creates (inside your windows system directory).

It tries to connect to some php counter script on a webpage and tries to load stuff from there.

So you should delete the registry keys, the files and terminate the msping process if you can find it withing your TaskManager

Best regards

Florian Eichelberger
Ikarus Software

ShrinersPark · 29.11.2005, 11:21

Und noch eine Antwort

Hello.

I detected it as Backdoor, becouse it download file from internet with comands.

Detection for this malware has been added to the next antiviral bases update.
Recomendation: select type "Extended bases" of updates.

--
Regards, Alexey Malyshev
Virus analyst, Kaspersky Lab.

e-mail: newvirus@kaspersky.com
http://www.kaspersky.com/
http://www.viruslist.com/en/weblog

stupormundi · 29.11.2005, 11:24

Servus!
Das habe ich vermutet!
Zuerst Gratulation: Mit diesen Einsendungen hast Du einen (Klitze)kleinen Beitrag zur Aktualisierung der Signaturen beigetragen!
Weniger schön: Mein Rat an Dich: http://www.trojaner-board.de/showthread.php?t=12154
Das ist die einzig sinnvolle Maßnahme
alles Gute, stupormundi

ShrinersPark · 29.11.2005, 11:54

Danke erstmal...mal schauen, wie weit ich komme

IE PopUp shadowww.com

Log-Analyse und Auswertung: IE PopUp shadowww.com