hi

hab mir wohl irgendetwas von ad.firstadsolution eingefangen.
jedes mal wenn ich den firefox starte öffnet sich ein werbefenster (im internet explorer)

Wäre schön wenn ihr mir helfen könntet
im anschluss findet ihr den hijackthis log

MfG
Darklistener



Logfile of HijackThis v1.99.1
Scan saved at 10:13:28, on 30.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\windows\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\windows\System32\svchost.exe
C:\Programme\Steganos Internet Anonym VPN\SVPNStarter.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\Explorer.EXE
C:\Programme\Gemeinsame Dateien\stardock\TrayServer.exe
C:\windows\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\windows\system32\rlvknlg.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\TopDesk Trial\topdesk.exe
C:\windows\system32\rundll32.exe
C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
C:\Programme\QIP2\Qip.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\DUNKLE~1\LOKALE~1\Temp\Rar$EX00.125\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nitro.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Anonymizer Proxy - {0DB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\Programme\NetConceal Anonymizer\ProxyNew.dll
O2 - BHO: (no name) - {39568E25-B25C-AB16-9C67-6F7D2337D933} - C:\DOKUME~1\DUNKLE~1\ANWEND~1\comp body\Hole bin.exe
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_22.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - C:\Programme\Dealio\Dealio.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {B3299B71-6D4A-EFCA-84DD-5FB22FEE9D28} - C:\DOKUME~1\DUNKLE~1\ANWEND~1\comp body\Hole bin.exe
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Programme\Dealio\Dealio.dll
O4 - HKLM\..\Run: [1A:Stardock TrayMonitor] "C:\Programme\Gemeinsame Dateien\stardock\TrayServer.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SETTINGSTIMESPAMBOLD] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\manager setup settings time\FreeTray.exe
O4 - HKLM\..\Run: [RelevantKnowledge] c:\windows\system32\rlvknlg.exe -boot
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TopDesk] C:\Programme\TopDesk Trial\topdesk.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NewDotNet\newdotnet7_22.dll,ClientStartup -s
O4 - HKLM\..\Run: [ICQ Lite] C:\windows\scvhost.exe
O4 - HKLM\..\Run: [Windows Update] C:\windows\scvhost.exe
O4 - HKLM\..\Run: [msconfig] C:\windows\scvhost.exe
O4 - HKLM\..\Run: [Update Checker] C:\windows\scvhost.exe
O4 - HKLM\..\Run: [AntiVir] C:\windows\scvhost.exe
O4 - HKLM\..\Run: [] C:\windows\scvhost.exe
O4 - HKLM\..\Run: [Extra slow up warn] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Deaf Great Extra Slow\Rule sixth.exe
O4 - HKLM\..\RunServices: [Windows Update] C:\windows\scvhost.exe
O4 - HKLM\..\RunServices: [msconfig] C:\windows\scvhost.exe
O4 - HKLM\..\RunServices: [icq lite] C:\windows\scvhost.exe
O4 - HKLM\..\RunServices: [Update Checker] C:\windows\scvhost.exe
O4 - HKLM\..\RunServices: [AntiVir] C:\windows\scvhost.exe
O4 - HKLM\..\RunServices: [] C:\windows\scvhost.exe
O4 - HKLM\..\RunOnce: [Windows Update] C:\windows\scvhost.exe
O4 - HKLM\..\RunOnce: [msconfig] C:\windows\scvhost.exe
O4 - HKLM\..\RunOnce: [icq lite] C:\windows\scvhost.exe
O4 - HKLM\..\RunOnce: [Update Checker] C:\windows\scvhost.exe
O4 - HKLM\..\RunOnce: [AntiVir] C:\windows\scvhost.exe
O4 - HKLM\..\RunOnce: [] C:\windows\scvhost.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [QIP2005] C:\Programme\QIP2\Qip.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [anti send] C:\DOKUME~1\DUNKLE~1\ANWEND~1\frag pure\Help roam.exe
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Compare Prices with &Dealio - C:\Programme\Dealio\res\DealioSearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programme\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programme\Titan Poker\casino.exe
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk (file missing)
O9 - Extra 'Tools' menuitem: LingoWare Translator... - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Programme\Dealio\Dealio.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134988257437
O16 - DPF: {AE609930-A6EB-4A78-B7DA-B3200705FEBD} (Mophun Control) - http://www.mophun.com/codebase/mophun.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D3A54A4-EC5D-4223-B2A2-511A0AE01C37}: NameServer = 212.19.48.14
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll
O20 - Winlogon Notify: WgaLogon - C:\windows\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Steganos VPN Starter Service (SVPNStarter) - Unknown owner - C:\Programme\Steganos Internet Anonym VPN\SVPNStarter.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Zitat:

O4 - HKLM\..\RunServices: [Windows Update] C:\windows\scvhost.exe
O4 - HKLM\..\RunServices: [msconfig] C:\windows\scvhost.exe
O4 - HKLM\..\RunServices: [icq lite] C:\windows\scvhost.exe
O4 - HKLM\..\RunServices: [Update Checker] C:\windows\scvhost.exe
O4 - HKLM\..\RunServices: [AntiVir] C:\windows\scvhost.exe
O4 - HKLM\..\RunServices: [] C:\windows\scvhost.exe
O4 - HKLM\..\RunOnce: [Windows Update] C:\windows\scvhost.exe
O4 - HKLM\..\RunOnce: [msconfig] C:\windows\scvhost.exe
O4 - HKLM\..\RunOnce: [icq lite] C:\windows\scvhost.exe
O4 - HKLM\..\RunOnce: [Update Checker] C:\windows\scvhost.exe
O4 - HKLM\..\RunOnce: [AntiVir] C:\windows\scvhost.exe
O4 - HKLM\..\RunOnce: [] C:\windows\scvhost.exe

Da ist aber einiges im Argen. scvhost.exe deutet auf einen Netzwerkwurm mit Backdoorfunktion hin. Du musst das System neuaufsetzen!

Hallo,

Zitat:

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

Dieses kenn ich zufällig auch. dürfte fer Grund für die Popups sein. aber nicht einfach fixen, sonst könnte deine Internetverbindung zusammenbrechen, soweit ich das noch weiss. hatte damals LSP fix benutzt und dann gefixt. ausserdem müsste davon was in Systemsteuerung/Software zu finden sein. Aber am besten sagen dir die Profis hier was dazu.

Grüsse

@Khain.:
Eine weitere Analyse ist eigentlich nicht erforderlich, da das System kompromittiert ist und neu aufgesetzt werden musst!

Hi

Ok vielen Dank erstmal!
Dann werd ich wohl mal Neuaufsetzen müssen....

MfG
Darklistener

Hatte nicht schon jemand geschrieben, dass das System im Eimer und nicht zu bereinigen ist?

Zitat:

Zitat von cosinus

@Khain.:
Eine weitere Analyse ist eigentlich nicht erforderlich, da das System kompromittiert ist und neu aufgesetzt werden musst!

tja, die nacht ist lang, da kann man mal nachhelfen. oft wird gesagt das system ist müll. teilweise ist aber diese aussagen zu schnell gefasst.

rüße,

Bitte führe vollgende Schritte aus, dann ist dein Problem behoben.


* 1.) Deinstalliert über Start>>Eintellungen>>Systemsteuerung>>Software das Programm das den Swizzor eingeschleust hat, z.B. Netpumper oder MessengerPlus3. Macht dann einen Neustart, wenn dann keine Popups oder Meldungen des AVs mehr kommen sollte es das schon gewesen sein.


* 2.) Besorgt euch HijackThis und scannt damit euer System.


* 3.) Normalerweise hat Swizzor mindesten zwei Einträge, einen O2 und einen O4 Eintrag, diese verweisen immer auf Ordner in folgendem Pfad:
C:\DOKUMENTE UND EINSTELLUNGEN\*USER*\ANWENDUNGSDATEN\*beliebiger Ordnername*

*User* Steht für einen beliebigen Benutzer, kann aber auch den Pfad "All Users" meinen.

Häufig werden die Ordnernamen bei HijackThis abgekürzt, das sieht dann folgendermaßen aus:
C:\DOKUME~1 (~1 steht also für beliebig folgende Buchstaben oder Zahlen)

Mal ein paar Beispieleinträge, damit ihr wißt nach was ihr suchen müßt:

O2 - BHO: (no name) - {4774DFA6-2A34-46A1-AD67-A81DC29573FB} - C:\DOKUME~1\*User*\ANWEND~1\EXITSI~1\shimwipe.exe
O2 - BHO: (no name) - {C434066A-AFBD-C484-4679-77547D40E815} - C:\DOKUME~1\*User*\ANWEND~1\FACEVI~1\bleh live.exe
O4 - HKLM\..\Run: [plan load film pop] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OkayDrawPlanLoad\dale kind.exe
O4 - HKLM\..\Run: [01FlagAimDate] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Popcoal01flag\Chic thunk.exe


* 4.) Wenn ihr jetzt die betreffenden einträge gefunden habt geht ihr in den abgesicherten Modus und löscht dort die betrefenden Ordner, bei den Beispieleinträgen wären das folgende:

C:\DOKUME~1\*User*\ANWEND~1\EXITSI~1\
C:\DOKUME~1\*User*\ANWEND~1\FACEVI~1\
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OkayDrawPlanLoad\
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Popcoal01flag\

dann, immernoch im abgesicherten Modus, fixt (Haken davor und auf "fix checked") ihr mit HijackThis noch die jeweiligen O2 und O4 Einträge und, falls vorhanden, einen R1/R0 Eintrag der folgendermaßen aussieht:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.ktqiyvfudnpyyjefgkwps.net/V6mVQg00TdIVfw/eyPEwBsSNByJ6INmtFOBkQhZTjKezSt4pixNYZXV24zqMkTzU. html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.dfkeguzhmpf.biz/V6mVQg00TdI7SCuHe9XeVKra9janNgcSAMfVLleE0yM.html


* 5.) Geht in den Ordner C:\Windows\Tasks, dort sucht ihr nach einer *.job Datei, die aus 16 zusammengewürfelten Buchstaben/Zahlen besteht und zur vollen Stunde erstellt wurde. Beispiele hierfür:

C:\WINDOWS\tasks\A58DA13791965BA7.job
C:\WINDOWS\tasks\AE3C1401919B8531.job
C:\WINDOWS\tasks\A60C46BB9187FF23.job

löscht diese Datei mit killbox on reboot.


* 6.) Jetzt löscht ihr noch eure Temp Dateien mit Cleanup! und deaktiviert die Systemwiederherstellung, führt einen Neustart durch und aktiviert sie wieder. Löscht ev. noch die Backups von HijackThis (unter "view the list of Backups" die jeweiligen aussuchen und auf delete klicken).


* 7.) Macht zur Kontrolle noch einmal einen Onlinescan bei Panda dies muss mit dem IE geschehen, da ActiveX hierfür von Nöten ist.

MFG