Problem mit Popup Werbung und öffnenden Websites

geahmaster · 31.05.2006, 13:16

Hallo Zusammen,

seit längerem plagen mich diverse Dinge.
Zum einen wird alle Minute eine Homepage geöffnet und ich kriege regelmässig werbung eingebländet auf dem Screen.

Tools wie AdAware SE (Def.: SE1R110 31.05.06)
SpyBot S&D (V1.4 Last Def.: 26.05.06 aktuellste)

Finden kaum noch dinge. Ab und an mal n Tracking Cooki aber die verursachen nicht meine Probleme.

Auch unser VirenScanner McAffee VirusScan Enterprise 8.0.0 Version 4773
findet nichts mehr.

Ich habe mein Glück mit KillBox versucht nachdem DLLCompare diverse DLLs gefunden hat, leider raucht mein PC dabei immer ab. SpyBot S&D schafft es nicht nach einem Scan mit dem nächsten Booten die Datei "en46l1hs1.dll" zu löschen die ein Problem bei mir verursacht.
Auch die Defender20.exe die auch hier im Log vorkommt werd ich nicht los.
Vor einer Woche hat mich ein CMDService tierisch genervt, an Ihm liegt es das die Popups hochkommen, aber ich krieg das nicht in den Griff, da Spybot es nicht gelingt ihn bei einem Neuboot zu löschen.

Ich würde mich freuen und es würde mich auch interessieren, wenn jemand mal ein Blick hierrauf werfen kann und mir mal sagen kann was ich hier noch loswerden könnte.
Vielen Dank schon mal all denen , die sich die Mühe machen das hier anzuschauen.

Gruss
Geahmaster

Logfile of HijackThis v1.99.1
Scan saved at 13:56:36, on 31.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
C:\Program Files\Atheros\ACU\Utility\ACU.exe
C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\System32\1XConfig.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\*****\My Documents\Programm EXES\Security\Anti Virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://news.google.de/
F2 - REG:system.ini: UserInit=userinit.exe
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [pdfFactory Dispatcher v2] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
O4 - HKLM\..\Run: [ACU] C:\Program Files\Atheros\ACU\Utility\ACU.exe -nogui
O4 - HKLM\..\Run: [ZCfgSvc.exe] c:\WINDOWS\System32\ZCfgSvc.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [defender] C:\\defender20.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Net Sentinel.lnk = C:\Program Files\FdW SoftWare\Net Sentinel\NS.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00000000-0000-0000-0000-100000000003} - http://code.jcash.biz/l/fbc066c1ed479b98ef6b3353b4b1f937_13.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20060104/qtinstall.info.apple.com/snape/us/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094137492054
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1143464344212
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4764/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***.***
O17 - HKLM\Software\..\Telephony: DomainName = ***.***
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***.***
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ***.***
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\System32\acs.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Smart Card Gina Helper (hpfdglc) - Unknown owner - C:\WINDOWS\System32\hpfdglc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: Symantec Ghost Database Service (ngdbserv) - Symantec Corporation - C:\Program Files\Symantec\Ghost\bin\dbserv.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

BataAlexander · 31.05.2006, 15:32

Hallo,

bei der von Dir besagten Defender20.exe handelt es sich um diesen Backdoor, daher kann ich Dir nur raten Dein System alsbald Neu Aufzusetzen, eine Anleitung dazu ist in meiner Signatur verlinkt.

Was Backdoors können liest Du hier

Gruß

Schrulli

geahmaster · 01.06.2006, 08:29

gibt es kein tool mit dem man das löschen kann?
ein neuaufsetzten wäre ziemlich.... uncool, da ich mit dem rechner geschäftlich arbeite und nicht wirklich zeit dafür habe die kiste platt zu machen.
Wäre froh, wenn es noch was anderes gäbe als neu installation!?!? Vielen Dank aber erstmal für deine Antwort schrulli

BataAlexander · 01.06.2006, 08:44

Hallo,

scanne die Datei

C:\defender20.exe

online bei virustotal.com und poste das Ergebnis hier.

Zitat:

da ich mit dem rechner geschäftlich arbeite

sehr problematische Aussage, spiel den Gedanken doch mal durch, was für Daten hast Du auf dem Rechner? Sensible Kundendaten, Adressdaten etc.
Warten wir mal das Ergebnis des Scans ab.

Gruß

Schrulli

geahmaster · 02.06.2006, 10:50

hab den pc nochmal gescannt und defender20.exe gelöscht.
hab die quarantäne datei dann mit virustotal.com checken lassen,
hier das ergebnis
Auf dem Rechner lässt sich die datei nun nicht mehr finden.

Antivirus Version Update Result
AntiVir 6.34.1.37 06.02.2006 no virus found
Authentium 4.93.8 06.02.2006 W32/Trojan.CON <-----------------
Avast 4.7.844.0 06.01.2006 no virus found
AVG 386 06.01.2006 no virus found
BitDefender 7.2 06.02.2006 Trojan.Clicker.VB.DS <-----------------
CAT-QuickHeal 8.00 06.01.2006 no virus found
ClamAV devel-20060426 06.02.2006 no virus found
DrWeb 4.33 06.02.2006 no virus found
eTrust-InoculateIT 23.72.25 06.02.2006 no virus found
eTrust-Vet 12.6.2240 06.02.2006 no virus found
Ewido 3.5 06.02.2006 no virus found
Fortinet 2.77.0.0 06.01.2006 no virus found
F-Prot 3.16f 06.02.2006 destructive program named W32/Trojan.CON <------------
Ikarus 0.2.65.0 06.02.2006 no virus found
Kaspersky 4.0.2.24 06.02.2006 Trojan-Clicker.Win32.VB.ly <------------------
McAfee 4775 06.01.2006 no virus found
Microsoft 1.1441 06.02.2006 no virus found
NOD32v2 1.1575 06.02.2006 no virus found
Norman 5.90.17 06.01.2006 no virus found
Panda 9.0.0.4 06.01.2006 no virus found
Sophos 4.05.0 06.02.2006 no virus found
Symantec 8.0 06.02.2006 no virus found
TheHacker 5.9.8.154 06.01.2006 no virus found
UNA 1.83 06.01.2006 TrojanClicker.Win32.VB <---------------
VBA32 3.11.0 06.02.2006 no virus found

Aditional Information
File size: 36956 bytes
MD5: 47e9969ff47c5b72351cfb439e2d3374
SHA1: db45d2ecdd55794ba2d6e71a9f7b7ea57230f46e
Packers: CryptFF

BataAlexander · 02.06.2006, 11:02

Hallo,

wenn das Log zu der Defender20.exe gehört, was ich nicht weiß, da Du den Kopf vergessen hast zu posten, sieht es gut aus, kein Backdoor.

Fixe mittels HJT im abgesicherten Modus:

O4 - HKLM\..\Run: [defender] C:\\defender20.exe
O16 - DPF: {00000000-0000-0000-0000-100000000003} - http://code.jcash.biz/l/fbc066c1ed47...4b1f937_13.exe
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O23 - Service: Smart Card Gina Helper (hpfdglc) - Unknown owner - C:\WINDOWS\System32\hpfdglc.exe (file missing)

Kennst Du das Progrmm

O4 - Global Startup: Net Sentinel.lnk = C:\Program Files\FdW SoftWare\Net Sentinel\NS.exe

ansonsten auch bei virustotal.com scannen lassen.

Diese

C:\WINDOWS\System32\hpfdglc.exe

auf jeden Fall scannen lassen und das Ergebnis posten, dannach machen wor weiter.

Hallo Wildone

Gruß

Schrulli

geahmaster · 02.06.2006, 15:52

Hat sich jetzt alles erledigt.
Hab mit ner selbstgebastelten BartPE Version die Dateien alle löschen können. Seit eienr Stunde kommt nichts mehr und ich betrachte das Problem jetzt als gelöst.
An dieser Stelle vielen Dank an dich Schrulli für die Hilfe.

Keep up the good work

ach ja den thread könnt ihr schliessen.

Markus1234 · 02.06.2006, 15:55

Kannst du mir vielleicht noch sagen welcher Firma du angehörst?
Wenn du es nicht machst, will wenigstens ich auf Nummer sicher gehn - das ist unverantwortlich.

Mit strunzligen Grüßen,
Markus

31.05.2006, 15:32	#2
BataAlexander > MalwareDB	Problem mit Popup Werbung und öffnenden Websites Hallo, bei der von Dir besagten Defender20.exe handelt es sich um diesen Backdoor, daher kann ich Dir nur raten Dein System alsbald Neu Aufzusetzen, eine Anleitung dazu ist in meiner Signatur verlinkt. Was Backdoors können liest Du hier Gruß Schrulli __________________ __________________

Problem mit Popup Werbung und öffnenden Websites

Log-Analyse und Auswertung: Problem mit Popup Werbung und öffnenden Websites