IE Fenster öffnet sich von alleine mit verschiedener Werbung

HaiHappen · 07.10.2006, 18:27

Hallo, hoffe ihr könnt mir helfen. Mein Problem ist, das sich seit Gestern ständig PopUps und IE Seiten ungewollt mit Werbung öffnen. Die Werbung ist immer ganz unterschiedlich, aber hier mal die Log-File:

Logfile of HijackThis v1.99.1
Scan saved at 19:13:46, on 07.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\AGEIA Technologies\TrayIcon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe
C:\Programme\Logitech\G-series Software\Applets\WeatherG15.exe
C:\Programme\Logitech\G-series Software\Applets\LCDSirReal.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\Logitech\G-series Software\Applets\applet\zaxAppHost.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\TechniSat DVB\bin\Server4PC.exe
C:\Programme\DVBViewer\Remotes\winlirc.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\TechniSat DVB\bin\Server4PC.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Dokumente und Einstellungen\***\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.bc-gaming.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 83.89.44.122:8080
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Programme\AGEIA Technologies\TrayIcon.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Acidbodycopytray] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DvdSetupAcidBody\2blue.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Gramstyle] C:\DOKUME~1\***~1\ANWEND~1\MAPISA~1\Bore Does Save.exe
O4 - Startup: Verknüpfung mit winlirc.lnk = C:\Programme\DVBViewer\Remotes\winlirc.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Server4PC.lnk = C:\Programme\TechniSat DVB\bin\Server4PC.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Poker.com - {6FDD5236-C9F0-49ef-935D-385F5E21991A} - C:\Programme\Poker.com\poker.exe (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1147972781123
O16 - DPF: {BE833F39-1E0C-468C-BA70-25AAEE55775E} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

Hoffe auf baldige Antwort,

mfg der Happen ^^

cosinus · 07.10.2006, 19:35

Hallo, bist du der HaiHappen aus Spotlight.de?

Aber nun zum Logfile:

Zitat:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 83.89.44.122:8080

Ist dieser Eintrag gewollt? 83.89.44.122 scheint eine dänische IP-Adresse zu sein.

Zitat:

C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

Diese Version ist etwas veraltet. Installiere die aktuelle Version.

Zitat:

O4 - HKLM\..\Run: [Acidbodycopytray] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DvdSetupAcidBody\2blue.exe
O4 - HKCU\..\Run: [Gramstyle] C:\DOKUME~1\***~1\ANWEND~1\MAPISA~1\Bore Does Save.exe
O9 - Extra button: Poker.com - {6FDD5236-C9F0-49ef-935D-385F5E21991A} - C:\Programme\Poker.com\poker.exe (HKCU)

Kenn ich nicht. Vllt. magst Du mal die Dateien
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DvdSetupAcidBody\2blue.exe
C:\DOKUME~1\***~1\ANWEND~1\MAPISA~1\Bore Does Save.exe
C:\Programme\Poker.com\poker.exe
bei Jotti/Virustotal/Kaspersky auswerten lassen. Poste die Ergebnisse.

HaiHappen · 07.10.2006, 22:13

Ne, tut mir leid, der HaiHappen bin ich nich

aber ich hab die von dir angegebenen Dateien bei Virustotal scannen lassen
poker.exe ist ein pokerspiel, online mit spielgeld

Hab in dem gleichen ordner, wo die "Bore_Does_Save.exe" liegt, noch zwei weitere Dateien gefunden, die ich auch gleich untersucht habe, nämlich die "forsizedrive.exe" und die "yqrwahhh.exe"

STATUS: FINISHED
Complete scanning result of "Bore_Does_Save.exe", received in VirusTotal at 10.07.2006, 22:48:28 (CET).
Antivirus Version Update Result
AntiVir 7.2.0.25 10.06.2006 no virus found
Authentium 4.93.8 10.06.2006 no virus found
Avast 4.7.892.0 10.07.2006 no virus found
AVG 386 10.07.2006 no virus found
BitDefender 7.2 10.07.2006 no virus found
CAT-QuickHeal 8.00 10.07.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 10.07.2006 no virus found
DrWeb 4.33 10.07.2006 no virus found
eTrust-InoculateIT 23.73.16 10.07.2006 no virus found
eTrust-Vet 30.3.3118 10.06.2006 no virus found
Ewido 4.0 10.07.2006 no virus found
Fortinet 2.82.0.0 10.07.2006 suspicious
F-Prot 3.16f 10.06.2006 no virus found
F-Prot4 4.2.1.29 10.06.2006 no virus found
Ikarus 0.2.65.0 10.07.2006 no virus found
Kaspersky 4.0.2.24 10.07.2006 no virus found
McAfee 4868 10.06.2006 no virus found
Microsoft 1.1603 10.07.2006 no virus found
NOD32v2 1.1794 10.06.2006 no virus found
Norman 5.90.23 10.06.2006 no virus found
Panda 9.0.0.4 10.07.2006 no virus found
Sophos 4.10.0 10.05.2006 no virus found
TheHacker 6.0.1.093 10.06.2006 no virus found
UNA 1.83 10.06.2006 no virus found
VBA32 3.11.1 10.06.2006 no virus found
VirusBuster 4.3.7:9 10.07.2006 no virus found
Aditional Information
File size: 481280 bytes
MD5: 2eea5b76a58e3a1335510706e49047d4
SHA1: 178f36d9189db7ca8158220510704636dde40b46

STATUS: FINISHED
Complete scanning result of "forsizedrive.exe", received in VirusTotal at 10.07.2006, 22:54:18 (CET).
Antivirus Version Update Result
AntiVir 7.2.0.25 10.06.2006 no virus found
Authentium 4.93.8 10.06.2006 no virus found
Avast 4.7.892.0 10.07.2006 no virus found
AVG 386 10.07.2006 no virus found
BitDefender 7.2 10.07.2006 no virus found
CAT-QuickHeal 8.00 10.07.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 10.07.2006 no virus found
DrWeb 4.33 10.07.2006 no virus found
eTrust-InoculateIT 23.73.16 10.07.2006 no virus found
eTrust-Vet 30.3.3118 10.06.2006 no virus found
Ewido 4.0 10.07.2006 no virus found
Fortinet 2.82.0.0 10.07.2006 suspicious
F-Prot 3.16f 10.06.2006 no virus found
F-Prot4 4.2.1.29 10.06.2006 no virus found
Ikarus 0.2.65.0 10.07.2006 no virus found
Kaspersky 4.0.2.24 10.07.2006 no virus found
McAfee 4868 10.06.2006 no virus found
Microsoft 1.1603 10.07.2006 no virus found
NOD32v2 1.1794 10.06.2006 no virus found
Norman 5.90.23 10.06.2006 no virus found
Panda 9.0.0.4 10.07.2006 no virus found
TheHacker 6.0.1.093 10.06.2006 no virus found
UNA 1.83 10.06.2006 no virus found
VBA32 3.11.1 10.06.2006 no virus found
VirusBuster 4.3.7:9 10.07.2006 no virus found
Aditional Information
File size: 198656 bytes
MD5: 6f4d7f05b0773938921bece7168a3bb9
SHA1: 82ba051a6c2fe3c5fffe1f6f47a48bdc6201022c

STATUS: FINISHED
Complete scanning result of "yqrwahhh.exe", received in VirusTotal at 10.07.2006, 23:01:44 (CET).
Antivirus Version Update Result
AntiVir 7.2.0.25 10.06.2006 no virus found
Authentium 4.93.8 10.06.2006 no virus found
Avast 4.7.892.0 10.07.2006 no virus found
AVG 386 10.07.2006 no virus found
BitDefender 7.2 10.07.2006 no virus found
CAT-QuickHeal 8.00 10.07.2006 no virus found
ClamAV devel-20060426 10.07.2006 no virus found
eTrust-InoculateIT 23.73.16 10.07.2006 no virus found
eTrust-Vet 30.3.3118 10.06.2006 no virus found
DrWeb 4.33 10.07.2006 no virus found
Ewido 4.0 10.07.2006 no virus found
Fortinet 2.82.0.0 10.07.2006 suspicious
F-Prot 3.16f 10.06.2006 no virus found
F-Prot4 4.2.1.29 10.06.2006 no virus found
Ikarus 0.2.65.0 10.07.2006 no virus found
Kaspersky 4.0.2.24 10.07.2006 no virus found
McAfee 4868 10.06.2006 no virus found
Microsoft 1.1603 10.07.2006 no virus found
NOD32v2 1.1794 10.06.2006 no virus found
Norman 5.80.02 10.06.2006 no virus found
Panda 9.0.0.4 10.07.2006 Suspicious file
Sophos 4.10.0 10.05.2006 no virus found
TheHacker 6.0.1.093 10.06.2006 no virus found
UNA 1.83 10.06.2006 no virus found
VBA32 3.11.1 10.06.2006 no virus found
VirusBuster 4.3.7:9 10.07.2006 no virus found
Aditional Information
File size: 541184 bytes
MD5: 35631d4b9fbb852750fbb2c60ebec646
SHA1: 3465b1f5b44e9f2c5827a09c379c7f0e7546d23d

STATUS: FINISHED
Complete scanning result of "2blue.exe", received in VirusTotal at 10.07.2006, 23:03:31 (CET).
Antivirus Version Update Result
AntiVir 7.2.0.25 10.06.2006 no virus found
Authentium 4.93.8 10.06.2006 no virus found
Avast 4.7.892.0 10.07.2006 no virus found
AVG 386 10.07.2006 no virus found
BitDefender 7.2 10.07.2006 no virus found
CAT-QuickHeal 8.00 10.07.2006 no virus found
ClamAV devel-20060426 10.07.2006 no virus found
DrWeb 4.33 10.07.2006 no virus found
eTrust-InoculateIT 23.73.16 10.07.2006 no virus found
eTrust-Vet 30.3.3118 10.06.2006 no virus found
Ewido 4.0 10.07.2006 no virus found
Fortinet 2.82.0.0 10.07.2006 suspicious
F-Prot 3.16f 10.06.2006 no virus found
F-Prot4 4.2.1.29 10.06.2006 no virus found
Ikarus 0.2.65.0 10.07.2006 no virus found
Kaspersky 4.0.2.24 10.07.2006 no virus found
McAfee 4868 10.06.2006 no virus found
Microsoft 1.1603 10.07.2006 no virus found
NOD32v2 1.1794 10.06.2006 no virus found
Norman 5.90.23 10.06.2006 no virus found
Panda 9.0.0.4 10.07.2006 Suspicious file
Sophos 4.10.0 10.05.2006 no virus found
TheHacker 6.0.1.093 10.06.2006 no virus found
UNA 1.83 10.06.2006 no virus found
VBA32 3.11.1 10.06.2006 no virus found
VirusBuster 4.3.7:9 10.07.2006 no virus found
Aditional Information
File size: 541184 bytes
MD5: 35631d4b9fbb852750fbb2c60ebec646
SHA1: 3465b1f5b44e9f2c5827a09c379c7f0e7546d23d

hoffe das hilft dir weiter

HaiHappen · 08.10.2006, 10:48

kurzes Update:

Es öffnen sich keine PopUps mehr, aber erst seit meine Firewall sich gemaledet hat, mit der meldung, das sich IE mittels Port 80 mit einer mir unbekannten IP verbinden möchte. Den Zugriff hab ich allerdings untersagt. Keine Ahnung, ob das zusammen hängt, auf jedenfall, hab ich jetzt seit ca. 20 h ruhe. wäre Trotzdem toll, wenn ich die "suspicous" Dateien losbekomme, ohne irgendwelche rückstände.

mfg der Happen ^^

cosinus · 08.10.2006, 15:08

Poste mal ein Logfile von tcpview, vllt. erkennt man da was raus.
Mach auch mal einen Scan mit Blacklight und poste auch dieses Log.

HaiHappen · 08.10.2006, 17:50

Hier das tcpview Log:

avgnt.exe:2116 TCP seeanemone:1329 localhost:18350 ESTABLISHED
avguard.exe:1844 TCP seeanemone:18350 seeanemone:0 LISTENING
avguard.exe:1844 TCP seeanemone:18350 localhost:1329 ESTABLISHED
CLI.exe:1196 TCP seeanemone:1031 seeanemone:0 LISTENING
CLI.exe:2852 TCP seeanemone:1225 seeanemone:0 LISTENING
CLI.exe:3824 TCP seeanemone:1239 seeanemone:0 LISTENING
DAP.exe:1564 UDP seeanemone:1041 *:*
ICQLite.exe:6652 TCP seeanemone:3366 seeanemone:0 LISTENING
ICQLite.exe:6652 TCP seeanemone:3366 localhost:3376 ESTABLISHED
ICQLite.exe:6652 TCP seeanemone:3366 localhost:4847 ESTABLISHED
ICQLite.exe:6652 TCP seeanemone:3366 localhost:4846 ESTABLISHED
ICQLite.exe:6652 TCP seeanemone:3376 localhost:3366 ESTABLISHED
ICQLite.exe:6652 TCP seeanemone:4846 localhost:3366 ESTABLISHED
ICQLite.exe:6652 TCP seeanemone:4847 localhost:3366 ESTABLISHED
ICQLite.exe:6652 TCP seeanemone.home:4439 205.188.8.96:5190 ESTABLISHED
ICQLite.exe:6652 UDP seeanemone:3367 *:*
iexplore.exe:2304 UDP seeanemone:1229 *:*
iexplore.exe:8924 UDP seeanemone:4881 *:*
lsass.exe:1120 UDP seeanemone:4500 *:*
lsass.exe:1120 UDP seeanemone:isakmp *:*
msnmsgr.exe:9544 TCP seeanemone.home:4397 by2msg1104005.phx.gbl:1863 ESTABLISHED
msnmsgr.exe:9544 TCP seeanemone.home:4402 a194-97-51-204.deploy.akamaitechnologies.com:http CLOSE_WAIT
msnmsgr.exe:9544 TCP seeanemone.home:4403 a194-97-51-204.deploy.akamaitechnologies.com:http CLOSE_WAIT
msnmsgr.exe:9544 TCP seeanemone.home:4869 207.68.178.61:http CLOSE_WAIT
msnmsgr.exe:9544 UDP seeanemone:4408 *:*
msnmsgr.exe:9544 UDP seeanemone:3422 *:*
msnmsgr.exe:9544 UDP seeanemone:52832 *:*
msnmsgr.exe:9544 UDP seeanemone.home:18876 *:*
msnmsgr.exe:9544 UDP seeanemone.home:discard *:*
Smc.exe:1784 UDP seeanemone:1072 *:*
Smc.exe:1784 UDP seeanemone:1085 *:*
svchost.exe:1396 TCP seeanemone:epmap seeanemone:0 LISTENING
svchost.exe:1736 UDP seeanemone:ntp *:*
svchost.exe:1736 UDP seeanemone.home:ntp *:*
svchost.exe:1736 UDP seeanemone:ntp *:*
svchost.exe:1984 UDP seeanemone:1037 *:*
svchost.exe:1984 UDP seeanemone:1035 *:*
svchost.exe:1984 UDP seeanemone:1038 *:*
svchost.exe:1984 UDP seeanemone:1034 *:*
svchost.exe:1984 UDP seeanemone:1036 *:*
svchost.exe:440 UDP seeanemone:1900 *:*
svchost.exe:440 UDP seeanemone.home:1900 *:*
svchost.exe:440 UDP seeanemone:1900 *:*
System:4 TCP seeanemone:microsoft-ds seeanemone:0 LISTENING
System:4 TCP seeanemone.home:netbios-ssn seeanemone:0 LISTENING
System:4 TCP seeanemone:netbios-ssn seeanemone:0 LISTENING
System:4 UDP seeanemone:microsoft-ds *:*
System:4 UDP seeanemone:netbios-ns *:*
System:4 UDP seeanemone.home:netbios-ns *:*
System:4 UDP seeanemone.home:netbios-dgm *:*
System:4 UDP seeanemone:netbios-dgm *:*
TeamSpeak.exe:5680 TCP seeanemone.home:3362 dd1110.kasserver.com:http CLOSE_WAIT
TeamSpeak.exe:5680 UDP seeanemone:4854 *:*
winlirc.exe:2580 TCP seeanemone:8765 seeanemone:0 LISTENING

Der Blacklight Scan ergab nichts, sprich "No Items Found"

cosinus · 08.10.2006, 19:37

Wirklich ungewöhnliches seh ich da nichts raus, nur der hier ist mir nicht bekannt:

Zitat:

DAP.exe:1564 UDP seeanemone:1041 *:*

Kannst die Datei DAP.exe ja mal über die Suchfunktion ausfindig machen und näher untersuchen lassen.
Ich bin mir nicht so ganz sicher, ob dein System nun wirklich kompromittiert ist. Aber die Datei yqrwahhh.exe macht einen doch ziemlich komischen Eindruck auf mich.

HaiHappen · 08.10.2006, 21:02

DAP.exe, ist der Download Accelator Plus, mein DownloadManager werd ihn trotzdem untersuchen lassen

Edit:
Oha, anscheinend doch was gefunden ^^
hier das Virustotal Log:
STATUS: FINISHEDComplete scanning result of "DAP.exe", received in VirusTotal at 10.08.2006, 22:04:40 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.25 10.06.2006 no virus found
Authentium 4.93.8 10.06.2006 no virus found
Avast 4.7.892.0 10.08.2006 no virus found
AVG 386 10.07.2006 no virus found
BitDefender 7.2 10.08.2006 no virus found
CAT-QuickHeal 8.00 10.07.2006 no virus found
ClamAV devel-20060426 10.08.2006 no virus found
DrWeb 4.33 10.08.2006 no virus found
eTrust-InoculateIT 23.73.16 10.07.2006 no virus found
eTrust-Vet 30.3.3118 10.06.2006 no virus found
Ewido 4.0 10.08.2006 no virus found
Fortinet 2.82.0.0 10.08.2006 suspicious
F-Prot 3.16f 10.06.2006 no virus found
F-Prot4 4.2.1.29 10.06.2006 no virus found
Ikarus 0.2.65.0 10.07.2006 no virus found
Kaspersky 4.0.2.24 10.08.2006 no virus found
McAfee 4868 10.06.2006 no virus found
Microsoft 1.1603 10.08.2006 no virus found
NOD32v2 1.1794 10.06.2006 no virus found
Norman 5.80.02 10.06.2006 no virus found
Sophos 4.10.0 10.05.2006 no virus found
TheHacker 6.0.1.094 10.08.2006 no virus found
UNA 1.83 10.06.2006 Win32.CRYPT.virus
VBA32 3.11.1 10.08.2006 no virus found
VirusBuster 4.3.7:9 10.08.2006 no virus found

Aditional Information
File size: 1561600 bytes
MD5: 36a592876d8397cb4a3e739ce2584a74
SHA1: 57e7afcf1bc4f85118f648f51fff078308c05a90
packers: SVKP
packers: SVKProtector

was sagst du dazu?

HaiHappen · 09.10.2006, 05:06

Jetzt hat ich gestern ruhe, jetzt fängt der rotz von vorne an. Sie sind wieder da, die dreckigen PopUps, und nerven mich zu tode, bitte um Hilfe.

mfg der Happen ^^

irrlicht · 09.10.2006, 10:11

Hallo,
die Spur mit DAP könnte die richtige sein.Der Downloadmanager bringt ungewollte Werbung mit.Hättest du bei der Installation die Eula gelesen, wüßtest du das.
Deinstalliere den Manager und suche dir einen ohne Werbung.
Irrlicht

HaiHappen · 09.10.2006, 20:42

Ich hab DAP schon seit sehr, sehr langer Zeit, und jetzt auf einmal kommt die Werbung? Find ich komisch, aber ich probiers mal.

HaiHappen · 09.10.2006, 22:14

Habe DAP deinstalliert, aber jetzt kommt die Werbung noch häufiger, hat noch jemand eine Idee?

cosinus · 10.10.2006, 10:13

Mach mal einen gründlichen Check mit eScan.

HaiHappen · 10.10.2006, 23:08

Nach extrem ätzenden 2 Stunden, kann ich nun ein eScan Log vorweisen

Hab, wie in der Anleitung gelesen, nur die Auszüge die mit "tagged" oder "infected" kombiniert sind ausgesucht.
Hier das Log:

Tue Oct 10 21:46:58 2006 => System found infected with cws.loadadv.400 Browser Hijacker ({5e2121ee-0300-11d4-8d3b-444553540000})! Action taken: No Action Taken.
Tue Oct 10 21:47:01 2006 => Offending Key found: HKLM\Software\microsoft\downloadmanager !!!
Tue Oct 10 21:47:01 2006 => Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Oct 10 21:47:26 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Eigene Dateien\tools\setups\aliasfinderms_4.0.3.177_beta_(06-04-2005)\html\player.html
Tue Oct 10 21:47:26 2006 => System found infected with clipgenie Spyware/Adware (player.html)! Action taken: No Action Taken.

Tue Oct 10 23:46:46 2006 => File C:\WINDOWS\system32\r_server.exe tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.21. No Action Taken.

Tue Oct 10 23:46:17 2006 => File C:\WINDOWS\system32\raddrv.dll tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.20. No Action Taken.

Tue Oct 10 23:44:50 2006 => File C:\WINDOWS\system32\iasada.dll_tobedeleted tagged as "not-a-virus:AdWare.Win32.AzSearch.b". Action Taken: No Action Taken.

Tue Oct 10 23:41:38 2006 => File C:\WINDOWS\system32\azesearch4.ocx_tobedeleted tagged as "not-a-virus:AdWare.Win32.AzSearch.b". Action Taken: No Action Taken.

Tue Oct 10 23:41:28 2006 => File C:\WINDOWS\system32\admdll.dll tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.20. No Action Taken.

Tue Oct 10 22:54:40 2006 => File C:\Programme\Radmin\r_server.exe tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.21. No Action Taken.

Tue Oct 10 22:54:39 2006 => File C:\Programme\Radmin\radmin.exe tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.21. No Action Taken.

Tue Oct 10 22:54:39 2006 => File C:\Programme\Radmin\raddrv.dll tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.20. No Action Taken.

Tue Oct 10 22:54:39 2006 => File C:\Programme\Radmin\AdmDll.dll tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.20. No Action Taken.

Hoffe, das hilft weiter... Ich hoffe das wirklich ^^

mfg der Happen ^^

cosinus · 10.10.2006, 23:21

Oje, da ist wohl noch mehr im Argen..

Zitat:

C:\WINDOWS\system32\r_server.exe

Oder hast Du Dir C:\Programme\Radmin\r_server.exe bewusst installiert?

08.10.2006, 15:08	#5
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	IE Fenster öffnet sich von alleine mit verschiedener Werbung Poste mal ein Logfile von tcpview, vllt. erkennt man da was raus. Mach auch mal einen Scan mit Blacklight und poste auch dieses Log. __________________ Logfiles bitte immer in CODE-Tags posten

10.10.2006, 10:13	#13
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	IE Fenster öffnet sich von alleine mit verschiedener Werbung Mach mal einen gründlichen Check mit eScan. __________________ Logfiles bitte immer in CODE-Tags posten

IE Fenster öffnet sich von alleine mit verschiedener Werbung

Plagegeister aller Art und deren Bekämpfung: IE Fenster öffnet sich von alleine mit verschiedener Werbung