Einmal bitte nachschaun :D

BalloS · 22.07.2006, 18:45

hiho

hab dasselbe Problem. Hatte den schon einmal und mit SmitfraudFix war es dann alles wieder gut. Nun hatte ich mit den wieder zugezogen, aber scheinbar scheint der diesmal nicht weg zu wollen. Hab schon SmitfraudFix wieder drüber laufen lassen und mehrere Online Virenscanner und Avira AntiVir schon 2 mal. Aber die scheinen alle nichts zu finden. Jedoch machen sich von Zeit zu Zeit immernoch Popups auf, mit irgendwelchen Sicherheitshinweisen und der Bitte doch irgendwelche komische Software runterzuladen und zu installieren.

Hier mal ein logfile.

Logfile of HijackThis v1.99.1
Scan saved at 19:13:52, on 22.07.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\No-IP\DUC20.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Gemeinsame Dateien\{B43D8268-087B-1031-1008-030725020031}\Update.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Hewlett-Packard\HP OfficeJet Series 500\Bin\HPOstr05.exe
C:\Programme\Hewlett-Packard\HP OfficeJet Series 500\bin\HPOVDX05.EXE
C:\Programme\DAP\DAP.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Winamp\Winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://XXXXX/
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Programme\DAP\DAP.EXE" /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP OfficeJet Series 500-Start.lnk = C:\Programme\Hewlett-Packard\HP OfficeJet Series 500\Bin\HPOstr05.exe
O8 - Extra context menu item: &Clean Traces - C:\Programme\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {5F0C30E4-1E72-4DCC-85E5-57810F1CA97B} (McUpdatePortalFactory Class) - http://amiuptodate.mcafee.com/vsc/bin/1,0,0,9/McUpdatePortal.cab
O20 - AppInit_DLLs: C:\WINDOWS\System32\mshta.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NoIPDUCService - Vitalwerks LLC - C:\Programme\No-IP\DUC20.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

SmitFraudFix v2.74

Scan done at 19:34:13,40, 22.07.2006
Run from D:\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Admin\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Admin\FAVORI~1

C:\DOKUME~1\Admin\FAVORI~1\Antivirus Test Online.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

Auswertung von virustotal für das file :

Zitat:

C:\WINDOWS\System32\mshta.dll

Code:

ATTFilter

Antivirus	Version	Update	Result
AntiVir	6.35.0.24	07.22.2006	ADSPY/PurityScan.EN.1
Authentium	4.93.8	07.21.2006	no virus found
Avast	4.7.844.0	07.21.2006	Win32:Ndrv
AVG	386	07.21.2006	Adware Generic.OFX
BitDefender	7.2	07.21.2006	Adware.PurityScan.D
CAT-QuickHeal	8.00	07.22.2006	no virus found
ClamAV	devel-20060426	07.21.2006	Trojan.PurityScan.EN
DrWeb	4.33	07.22.2006	Adware.ClickSpring
eTrust-InoculateIT	23.72.75	07.21.2006	Win32/Clspring.BU!DLL!Trojan
eTrust-Vet	12.6.2305	07.21.2006	Win32/Clspring.EZ
Ewido	4.0	07.22.2006	Adware.PurityScan
Fortinet	2.77.0.0	07.21.2006	Adware/PurityScan
F-Prot	3.16f	07.21.2006	no virus found
F-Prot4	4.2.1.29	07.21.2006	no virus found
Ikarus	0.2.65.0	07.21.2006	no virus found
Kaspersky	4.0.2.24	07.22.2006	not-a-virus:AdWare.Win32.PurityScan.en
McAfee	4812	07.21.2006	no virus found
Microsoft	1.1508	07.22.2006	no virus found
NOD32v2	1.1674	07.22.2006	Win32/Adware.PurityScan
Norman	5.90.23	07.21.2006	W32/PurityScan.YM
Panda	9.0.0.4	07.22.2006	Adware/PurityScan
Sophos	4.07.0	07.22.2006	no virus found
Symantec	8.0	07.22.2006	no virus found
TheHacker	5.9.8.179	07.21.2006	Adware/PurityScan.en
UNA	1.83	07.21.2006	Adware.PurityScan
VBA32	3.11.0	07.21.2006	AdWare.Win32.PurityScan.en
VirusBuster	4.3.7:9	07.22.2006	no virus found

Sollte ich es doch löschen ??

Einmal bitte nachschaun :D

Log-Analyse und Auswertung: Einmal bitte nachschaun :D

Einmal bitte nachschaun :D

Ähnliche Themen: Einmal bitte nachschaun :D