| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner ADW ADCLICKER.BJ was soll ich tun??Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
16.01.2008, 21:07
| #1 |
| |  Trojaner ADW ADCLICKER.BJ was soll ich tun?? Hallo! Bräuchte bitte eure Hilfe... Ich habe gesehen dass es zu diesem Trojaner schon einen Beitrag gib, kann mit dem aber leider nichts anfangen...=( So heisst mein Problem: ADW ADCKLICKER.BJ Mein antivirus programm sagt mir, dass 2dateien betroffen sind: pushow58.dll und f3PSSavr.scr Tut mir leid aber ich bin kein insider=) u kenne mich nicht so gut aus. habe mit SmitFraudFix gescannt SmitFraudFix v2.274 Scan done at 20:41:40,96, 16.01.2008 Run from C:\Programme\Mozilla Firefox\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\SYSTEM32\SVCHOST.EXE C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\SYSTEM32\SPOOLSV.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\TRENDM~1\INTERN~2\PCCTLCOM.EXE C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe C:\PROGRA~1\TRENDM~1\INTERN~2\TMPROXY.EXE C:\PROGRA~1\TRENDM~1\INTERN~2\TMPFW.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Apoint2K\Apoint.exe C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Apoint2K\Apntex.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE C:\Programme\D-Link\AirPlus XtremeG Utility\AirPlusCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\Programme\MessengerPlus! 3\MsgPlus.exe C:\Programme\Winamp\winampa.exe C:\Programme\Trend Micro\Internet Security 14\pccguide.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Eraser\eraser.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\ArcSoft\TotalMedia 2\TMMonitor.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\iPod\bin\iPodService.exe C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\system32\taskmgr.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe C:\WINDOWS\system32\cmd.exe C:\PROGRA~1\TRENDM~1\INTERN~2\TSC.EXE »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\ »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Meine Dateien\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ESTEBAN~1\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» IEDFix !!!Attention, following keys are not inevitably infected!!! IEDFix.exe by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="pushow58.dll" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Paketplaner-Miniport DNS Server Search Order: 192.168.1.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{0EB28328-5032-4D49-9EEA-A8E7849BD92F}: DhcpNameServer=192.168.1.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{0EB28328-5032-4D49-9EEA-A8E7849BD92F}: DhcpNameServer=192.168.1.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End Bitte um HILFE.... ?!  mfg Esteban |
|
17.01.2008, 15:03
| #2 |
  | Trojaner ADW ADCLICKER.BJ was soll ich tun?? Hi,
__________________bitte HJ-Log erstellen (s. Signatur) und Combofix laufen lassen: combofix: Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. chris
__________________ |
|
17.01.2008, 23:49
| #3 |
| | Trojaner ADW ADCLICKER.BJ was soll ich tun?? Hab ich gemacht:
__________________ComboFix 08-01-18.1 - Esteban 2008-01-17 23:10:57.1 - NTFSx86 ausgeführt von:: C:\Dokumente und Einstellungen\Esteban \Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinAntiVirus Pro 2006 C:\Dokumente und Einstellungen\Musik\Anwendungsdaten\WinAntiVirus Pro 2006 C:\Dokumente und Einstellungen\Esteban\Anwendungsdaten\WinAntiVirus Pro 2006 C:\Programme\FunWebProducts C:\Programme\FunWebProducts\Shared\001FAED7.dat C:\Programme\FunWebProducts\Shared\Cache\CursorManiaBtn.html C:\Programme\FunWebProducts\Shared\Cache\FunBuddyIconBtn.html C:\Programme\FunWebProducts\Shared\Cache\MailStampBtn.html C:\Programme\FunWebProducts\Shared\Cache\MyStationeryBtn.html C:\Programme\FunWebProducts\Shared\Cache\SmileyCentralBtn-new.html C:\Programme\FunWebProducts\Shared\Cache\SmileyCentralBtn.html C:\Programme\Gemeinsame Dateien\winantivirus pro 2006 C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\WapCHK.dll C:\Programme\MyWebSearch C:\Programme\MyWebSearch\bar\1.bin\F3BKGERR.JPG C:\Programme\MyWebSearch\bar\1.bin\F3CJPEG.DLL C:\Programme\MyWebSearch\bar\1.bin\F3DTACTL.DLL C:\Programme\MyWebSearch\bar\1.bin\F3HISTSW.DLL C:\Programme\MyWebSearch\bar\1.bin\F3HTMLMU.DLL C:\Programme\MyWebSearch\bar\1.bin\F3HTTPCT.DLL C:\Programme\MyWebSearch\bar\1.bin\F3POPSWT.DLL C:\Programme\MyWebSearch\bar\1.bin\F3PSSAVR.SCR C:\Programme\MyWebSearch\bar\1.bin\F3REPROX.DLL C:\Programme\MyWebSearch\bar\1.bin\F3RESTUB.DLL C:\Programme\MyWebSearch\bar\1.bin\F3SCHMON.EXE C:\Programme\MyWebSearch\bar\1.bin\F3SCRCTR.DLL C:\Programme\MyWebSearch\bar\1.bin\F3SPACER.WMV C:\Programme\MyWebSearch\bar\1.bin\F3WALLPP.DAT C:\Programme\MyWebSearch\bar\1.bin\F3WPHOOK.DLL C:\Programme\MyWebSearch\bar\1.bin\M3FFXTBR.JAR C:\Programme\MyWebSearch\bar\1.bin\M3HTML.DLL C:\Programme\MyWebSearch\bar\1.bin\M3IDLE.DLL C:\Programme\MyWebSearch\bar\1.bin\M3NTSTBR.JAR C:\Programme\MyWebSearch\bar\1.bin\M3OUTLCN.DLL C:\Programme\MyWebSearch\bar\1.bin\M3PLUGIN.DLL C:\Programme\MyWebSearch\bar\1.bin\M3SKIN.DLL C:\Programme\MyWebSearch\bar\1.bin\M3SKPLAY.EXE C:\Programme\MyWebSearch\bar\1.bin\MWSOEPLG.DLL C:\Programme\MyWebSearch\bar\1.bin\MWSOESTB.DLL C:\Programme\MyWebSearch\bar\1.bin\NPMYWEBS.DLL C:\Programme\MyWebSearch\bar\Cache\00037197.bin C:\Programme\MyWebSearch\bar\Cache\0003737B.bin C:\Programme\MyWebSearch\bar\Cache\0003756F.bin C:\Programme\MyWebSearch\bar\Cache\000376F6.bin C:\Programme\MyWebSearch\bar\Cache\001AEDCC C:\Programme\MyWebSearch\bar\Cache\001F65E7.bin C:\Programme\MyWebSearch\bar\Cache\001F6B26.bin C:\Programme\MyWebSearch\bar\Cache\001F6DE6.bin C:\Programme\MyWebSearch\bar\Cache\00246254.bin C:\Programme\MyWebSearch\bar\Cache\0024D3CB.bin C:\Programme\MyWebSearch\bar\Cache\files.ini C:\Programme\MyWebSearch\bar\Game\CHECKERS.F3S C:\Programme\MyWebSearch\bar\Game\CHESS.F3S C:\Programme\MyWebSearch\bar\Game\REVERSI.F3S C:\Programme\MyWebSearch\bar\History\search C:\Programme\MyWebSearch\bar\Settings\prevcfg.htm C:\Programme\MyWebSearch\bar\Settings\s_pid.dat C:\Programme\MyWebSearch\bar\Settings\settings.dat C:\Programme\MyWebSearch\bar\Settings\settings.htm C:\Programme\winantivirus pro 2006 C:\Programme\winantivirus pro 2006\history.db C:\WINDOWS\Fonts\acrsecB.fon C:\WINDOWS\Fonts\acrsecI.fon C:\WINDOWS\system32\f3PSSavr.scr C:\WINDOWS\system32\stera.job C:\WINDOWS\system32\stera.log . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_FOPN -------\LEGACY_VSPF -------\LEGACY_VSPF_HK -------\vspf -------\vspf_hk ((((((((((((((((((((((( Dateien erstellt von 2007-12-18 bis 2008-01-18 )))))))))))))))))))))))))))))) . 2008-01-17 23:08 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe 2008-01-16 22:53 . 2008-01-16 22:53 <DIR> d-------- C:\WINDOWS\system32\OCON3D 2008-01-16 22:53 . 2008-01-16 22:53 3,635 --a------ C:\WINDOWS\ST5UNST.000 2008-01-16 22:43 . 2008-01-16 22:43 <DIR> d-------- C:\Programme\AxBx 2008-01-16 20:41 . 2008-01-16 20:41 3,926 --a------ C:\WINDOWS\system32\tmp.reg 2008-01-16 20:36 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-01-16 20:36 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-01-16 20:36 . 2007-12-20 23:11 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-01-16 20:36 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-01-16 20:36 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-01-16 20:36 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-01-15 23:01 . 2008-01-15 23:01 <DIR> d-------- C:\Programme\Avira 2008-01-15 23:01 . 2008-01-15 23:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-01-14 21:55 . 2008-01-14 21:55 136,192 --a------ C:\WINDOWS\system32\pushow58.dll 2008-01-09 20:27 . 2008-01-18 23:30 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-01-09 20:27 . 2008-01-09 20:27 1,409 --a------ C:\WINDOWS\QTFont.for 2008-01-09 20:26 . 2008-01-13 22:23 <DIR> d-------- C:\Dokumente und Einstellungen\Esteban\Anwendungsdaten\Apple Computer 2008-01-09 20:25 . 2008-01-09 20:25 <DIR> d-------- C:\Programme\iPod 2008-01-09 20:24 . 2008-01-09 20:26 <DIR> d-------- C:\Programme\iTunes 2008-01-09 20:22 . 2008-01-09 20:24 <DIR> d-------- C:\Programme\QuickTime 2008-01-09 20:22 . 2008-01-09 20:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer 2008-01-09 20:21 . 2008-01-09 20:21 <DIR> d-------- C:\Programme\Apple Software Update 2008-01-09 20:20 . 2007-10-31 14:09 30,464 --a------ C:\WINDOWS\system32\drivers\usbaapl.sys 2008-01-09 20:19 . 2008-01-09 20:19 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple 2008-01-09 20:19 . 2008-01-09 20:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple 2008-01-07 21:32 . 2008-01-07 22:01 <DIR> d-------- C:\Programme\Activision Value 2008-01-03 22:03 . 2008-01-03 22:03 268 --ah----- C:\sqmdata04.sqm 2008-01-03 22:03 . 2008-01-03 22:03 244 --ah----- C:\sqmnoopt03.sqm . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-18 22:23 --------- d-----w C:\Programme\Eraser 2008-01-15 22:18 --------- d-----w C:\Dokumente und Einstellungen\Stefan Rainer\Anwendungsdaten\chicadminmath 2008-01-15 22:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan 2008-01-15 22:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grim vc start dart 2008-01-15 22:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\4 Curb Loud Idol 2008-01-15 22:02 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memobonephoneprogram 2008-01-15 21:49 --------- d-----w C:\Programme\PokerStars.NET 2008-01-13 20:40 --------- d-----w C:\Dokumente und Einstellungen\Esteban\Anwendungsdaten\ivivo 2007-12-22 16:45 --------- d-----w C:\Dokumente und Einstellungen\Esteban\Anwendungsdaten\dvdcss 2007-12-17 18:21 --------- d-----w C:\Dokumente und Einstellungen\Musik\Anwendungsdaten\ArcSoft 2007-12-08 18:53 --------- d-----w C:\Programme\chicadminmath 2007-11-24 11:18 --------- d-----w C:\Programme\LimeWire 2007-11-20 11:53 --------- d-----w C:\Programme\SoftPepper Video Converter 2.0 2007-11-20 11:53 --------- d-----w C:\Programme\SoftPepper 2007-11-20 11:36 --------- d-----w C:\Programme\iViVo 2007-10-08 16:54 32,000 -c--a-w C:\Dokumente und Einstellungen\Esteban\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2006-01-27 15:08 774,144 -c--a-w C:\Programme\RngInterstitial.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{847A0015-1F0F-5373-8EE0-E8026E3BE485}] C:\DOKUME~1\STEFAN~1\ANWEND~1\CHINKE~1\Web Extra.exe [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57 15360] "MessengerPlus3"="C:\Programme\MessengerPlus! 3\MsgPlus.exe" [2006-04-27 17:32 190024] "JoyIdol"="C:\DOKUME~1\ESTEBAN~1\ANWEND~1\CHICAD~1\Site Great Nurb.exe" [2007-12-08 19:52 379392] "Eraser"="C:\Programme\Eraser\eraser.exe" [2006-08-07 22:07 634880] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-17 18:51 68856] "msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2003-10-08 04:40 159744] "AGRSMMSG"="AGRSMMSG.exe" [2003-12-12 15:09 88363 C:\WINDOWS\AGRSMMSG.exe] "Cpqset"="C:\Programme\HPQ\Default Settings\cpqset.exe" [2003-10-17 14:51 196670] "EPSON Stylus C62 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.exe" [2002-07-01 04:05 74752] "InCD"="C:\Programme\Ahead\InCD\InCD.exe" [2003-12-12 13:43 1241138] "DataLayer"="C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE" [2004-04-17 18:19 1159168] "PCSuiteTrayApplication"="C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE" [2004-03-23 11:20 147968] "D-Link AirPlus XtremeG Utility"="C:\Programme\D-Link\AirPlus XtremeG Utility\AirPlusCFG.exe" [2005-01-19 18:01 1003520] "ANIWZCS2Service"="C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2005-01-14 10:45 49152] "MessengerPlus3"="C:\Programme\MessengerPlus! 3\MsgPlus.exe" [2006-04-27 17:32 190024] "WinampAgent"="C:\Programme\Winamp\winampa.exe" [2006-03-10 18:45 35328] "pccguide.exe"="C:\Programme\Trend Micro\Internet Security 14\pccguide.exe" [2005-11-15 03:35 901185] "Phone program roam for"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memobonephoneprogram\GreatMapi.exe" [ ] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-09-17 19:29 185784] "Loud Idol Setup Grid"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\4 Curb Loud Idol\MATH 16.exe" [2008-01-18 23:34 4711936] "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-12-11 10:56 286720] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-12-11 12:10 267048] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-15 23:11 249896] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 08:57 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=pushow58.dll "LoadAppInit_DLLs"=0 (0x0) [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Alice ti aiuta.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Alice ti aiuta.lnk backup=C:\WINDOWS\pss\Alice ti aiuta.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^MyWebSearch Email Plugin.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\MyWebSearch Email Plugin.lnk backup=C:\WINDOWS\pss\MyWebSearch Email Plugin.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinIRXHelper.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinIRXHelper.lnk backup=C:\WINDOWS\pss\WinIRXHelper.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPHmon05] --a------ 2003-05-22 19:54 483328 C:\WINDOWS\System32\hphmon05.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPHUPD05] c:\Programme\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JoyIdol] --a------ 2007-12-08 19:52 379392 C:\DOKUME~1\STEFAN~1\ANWEND~1\CHICAD~1\Site Great Nurb.exe S3 A5AGU;D-Link USB Wireless Network Adapter Service;C:\WINDOWS\system32\DRIVERS\A5AGU.sys [2004-10-06 10:39] S3 ATHFMWDL;D-Link predator Bootloader driver;C:\WINDOWS\system32\Drivers\ATHFMWDL.sys [2004-10-04 06:28] S3 bdacap;%BdaSWCapture.DeviceDesc%;C:\WINDOWS\system32\drivers\bdacap.sys [2006-05-18 08:01] S3 GLHIDKBFILTER;GLHIDKBFILTER;C:\WINDOWS\system32\DRIVERS\GLKbFilter.sys [2006-01-06 07:55] S3 PCMCIAFVNETR;IEEE 802.11b Wireless LAN PC Card;C:\WINDOWS\system32\DRIVERS\fvnetr.sys [2002-07-16 15:59] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b5c07f26-685c-11dc-aa8f-00023f233535}] \Shell\AutoRun\command - E:\wd_windows_tools\setup.exe . Inhalt des "geplante Tasks" Ordners "2008-01-17 22:00:09 C:\WINDOWS\Tasks\84D2B2018B4128A1.job" - c:\dokume~1\stefan~1\anwend~1\chicad~1\memo amok soft.exe "2008-01-16 18:50:11 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-18 23:27:55 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... HKLM\Software\Microsoft\Windows\CurrentVersion\Run Cpqset = C:\Programme\HPQ\Default Settings\cpqset.exe???????????????????|?P???? ?(?B???????????????B???????? Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.2180] -> C:\WINDOWS\system32\pushow58.dll . Zeit der Fertigstellung: 2008-01-18 23:43:14 - machine was rebooted ComboFix-quarantined-files.txt 2008-01-18 22:43:05 |
|
18.01.2008, 07:51
| #4 | ||
| | Trojaner ADW ADCLICKER.BJ was soll ich tun?? Hi, Du hast immer noch Mailware auf Deinem Rechner: C:\WINDOWS\system32\pushow58.dll Datei hier prüfen lassen: virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen VirusTotal - Free Online Virus and Malware Scan Poste das Ergebnis mit Filename! Zitat:
Avenger avenger.zip - The Avenger Input script manually (anhaken) kopiere in: View/edit script Zitat:
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten Den Rest gehen wir dann an, wenn ich Klarheit habe... chris Ps.: Stelle Avira wie folgt ein: Antivir und die Heuristik, die aggressive Variante - Virus Hilfe Führe einen Systemscan durch und poste das Ergebnis!
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
20.01.2008, 18:52
| #5 |
| | Trojaner ADW ADCLICKER.BJ was soll ich tun?? das senden auf virus total geht nicht.... das steht: 0 bytes size received / Se ha recibido un archivo vacio hab keine ahnung warum?! |
|
20.01.2008, 19:46
| #6 | |
| Gast | Trojaner ADW ADCLICKER.BJ was soll ich tun??Zitat:
1.) nicht mehr existiert, nur noch der Reg-Eintrag 2.) der Schädling das Hochladen und Scannen unterbindet Vorschlag: Das hier umsetzen:  Quelle: sicher-ins-netz.info - So schützen Sie Ihr System richtigDas Ganze noch mal im abgesicherten Modus probieren. |
|
20.01.2008, 22:31
| #7 |
| | Trojaner ADW ADCLICKER.BJ was soll ich tun?? Ich hofffe jetzt habe ich alles gemacht was du gesagt hast...=) Datei Cpqset.exe empfangen 2008.01.20 19:03:05 (CET) Status: Beendet Ergebnis: 0/32 (0%) Filter Drucken der Ergebnisse Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.1.19.10 2008.01.18 - AntiVir 7.6.0.48 2008.01.20 - Authentium 4.93.8 2008.01.20 - Avast 4.7.1098.0 2008.01.20 - AVG 7.5.0.516 2008.01.20 - BitDefender 7.2 2008.01.20 - CAT-QuickHeal 9.00 2008.01.19 - ClamAV 0.91.2 2008.01.20 - DrWeb 4.44.0.09170 2008.01.20 - eSafe 7.0.15.0 2008.01.16 - eTrust-Vet 31.3.5470 2008.01.18 - Ewido 4.0 2008.01.20 - FileAdvisor 1 2008.01.20 - Fortinet 3.14.0.0 2008.01.20 - F-Prot 4.4.2.54 2008.01.19 - F-Secure 6.70.13260.0 2008.01.20 - Ikarus T3.1.1.20 2008.01.20 - Kaspersky 7.0.0.125 2008.01.20 - McAfee 5211 2008.01.18 - Microsoft 1.3109 2008.01.20 - NOD32v2 2808 2008.01.20 - Norman 5.80.02 2008.01.20 - Panda 9.0.0.4 2008.01.20 - Prevx1 V2 2008.01.20 - Rising 20.27.62.00 2008.01.20 - Sophos 4.24.0 2008.01.20 - Sunbelt 2.2.907.0 2008.01.17 - Symantec 10 2008.01.20 - TheHacker 6.2.9.191 2008.01.19 - VBA32 3.12.2.5 2008.01.19 - VirusBuster 4.3.26:9 2008.01.20 - Webwasher-Gateway 6.6.2 2008.01.20 - weitere Informationen File size: 196670 bytes MD5: fa54e9b0a808d3b8f45f4dbff59452be SHA1: a6b4f7358ad7aa06d17e04e0ccb2f0da0dece2f5 PEiD: InstallShield 2000 Datei memo_amok_soft.exe empfangen 2008.01.20 19:16:54 (CET) Status: Beendet Ergebnis: 2/30 (6.67%) Filter Drucken der Ergebnisse Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.1.19.10 2008.01.18 - AntiVir 7.6.0.48 2008.01.20 - Authentium 4.93.8 2008.01.20 - Avast 4.7.1098.0 2008.01.20 - AVG 7.5.0.516 2008.01.20 - BitDefender 7.2 2008.01.20 Trojan.Obfus.6.Gen CAT-QuickHeal 9.00 2008.01.19 - ClamAV 0.91.2 2008.01.20 - DrWeb 4.44.0.09170 2008.01.20 - eSafe 7.0.15.0 2008.01.16 - eTrust-Vet 31.3.5470 2008.01.18 - Ewido 4.0 2008.01.20 - FileAdvisor 1 2008.01.20 - Fortinet 3.14.0.0 2008.01.20 - F-Prot 4.4.2.54 2008.01.19 - Ikarus T3.1.1.20 2008.01.20 Trojan.Obfus.6 Kaspersky 7.0.0.125 2008.01.20 - McAfee 5211 2008.01.18 - Microsoft 1.3109 2008.01.20 - NOD32v2 2808 2008.01.20 - Norman 5.80.02 2008.01.20 - Panda 9.0.0.4 2008.01.20 - Rising 20.27.62.00 2008.01.20 - Sophos 4.24.0 2008.01.20 - Sunbelt 2.2.907.0 2008.01.17 - Symantec 10 2008.01.20 - TheHacker 6.2.9.191 2008.01.19 - VBA32 3.12.2.5 2008.01.19 - VirusBuster 4.3.26:9 2008.01.20 - Webwasher-Gateway 6.6.2 2008.01.20 - weitere Informationen File size: 251392 bytes MD5: 16448350ddfdcd428462fa51c5ed7e7f SHA1: 8e84e6f7e2fb9b37657291f0132cf91bedeabe85 PEiD: - Datei Site_Great_Nurb.exe empfangen 2008.01.20 19:38:11 (CET) Status: Beendet Ergebnis: 3/32 (9.38%) Filter Drucken der Ergebnisse Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.1.19.10 2008.01.18 - AntiVir 7.6.0.48 2008.01.20 - Authentium 4.93.8 2008.01.20 - Avast 4.7.1098.0 2008.01.20 - AVG 7.5.0.516 2008.01.20 - BitDefender 7.2 2008.01.20 Trojan.Obfus.6.Gen CAT-QuickHeal 9.00 2008.01.19 - ClamAV 0.91.2 2008.01.20 - DrWeb 4.44.0.09170 2008.01.20 - eSafe 7.0.15.0 2008.01.16 - eTrust-Vet 31.3.5470 2008.01.18 - Ewido 4.0 2008.01.20 - FileAdvisor 1 2008.01.20 - Fortinet 3.14.0.0 2008.01.20 - F-Prot 4.4.2.54 2008.01.19 - F-Secure 6.70.13260.0 2008.01.20 - Ikarus T3.1.1.20 2008.01.20 - Kaspersky 7.0.0.125 2008.01.20 - McAfee 5211 2008.01.18 - Microsoft 1.3109 2008.01.20 - NOD32v2 2808 2008.01.20 - Norman 5.80.02 2008.01.20 - Panda 9.0.0.4 2008.01.20 Suspicious file Prevx1 V2 2008.01.20 Heuristic: Suspicious Self Modifying File Rising 20.27.62.00 2008.01.20 - Sophos 4.24.0 2008.01.20 - Sunbelt 2.2.907.0 2008.01.17 - Symantec 10 2008.01.20 - TheHacker 6.2.9.191 2008.01.19 - VBA32 3.12.2.5 2008.01.19 - VirusBuster 4.3.26:9 2008.01.20 - Webwasher-Gateway 6.6.2 2008.01.20 - weitere Informationen File size: 379392 bytes MD5: eca8d0b231ca39147c2c23a3bf4f22cd SHA1: cb642023cff4103d8103f7dc8df9c61ac7ee932e PEiD: - Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=959C329C0061030CCA70057561DA2E003B6FC299 Datei QTFont.qfn empfangen 2007.03.15 22:43:16 (CET) Status: Beendet Ergebnis: 1/31 (3.23%) Filter Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 - - - AntiVir - - - Authentium - - - Avast - - - AVG - - - BitDefender - - - CAT-QuickHeal - - - ClamAV - - - DrWeb - - - eSafe - - - eTrust-Vet - - - Ewido - - - FileAdvisor - - Not analyzed yet Fortinet - - - F-Prot - - - F-Secure - - - Ikarus - - - Kaspersky - - - McAfee - - - Microsoft - - - NOD32v2 - - - Norman - - - Panda - - - Prevx1 - - - Sophos - - - Sunbelt - - - Symantec - - - TheHacker - - - UNA - - - VBA32 - - - VirusBuster - - - weitere Informationen MD5: dba91cd5a3a68302967c03213e52bde8 Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\cqaqbner ******************* Script file located at: \??\C:\WINDOWS\mnkhwkqm.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\F OPN\blocked not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\F OPN\blocked failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\F OPN\blocked Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\F OPN\log not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\F OPN\log failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\F OPN\log Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\F OPN not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\F OPN failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\F OPN Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\F OPN\blocked not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\F OPN\blocked failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\F OPN\blocked Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\F OPN\log not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\F OPN\log failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\F OPN\log Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\F OPN not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\F OPN failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\F OPN Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\FOPN\blocked not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\FOPN\blocked failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\FOPN\blocked Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\FOPN\log not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\FOPN\log failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\FOPN\log Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\FOPN not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\FOPN failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\FOPN Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_FOPN not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_FOPN failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_FOPN Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\ LEGACY_FOPN not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\ LEGACY_FOPN failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\ LEGACY_FOPN Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_FOPN not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_FOPN failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_FOPN Status: 0xc0000034 File C:\WINDOWS\system32\pushow58.dll deleted successfully. Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully. Completed script processing. ******************* Finished! Terminate. |
|
21.01.2008, 07:33
| #8 | |
| | Trojaner ADW ADCLICKER.BJ was soll ich tun?? Hi, wir müssen die Dateien: C:\DOKUME~1\STEFAN~1\ANWEND~1\CHICAD~1\Site Great Nurb.exe c:\dokume~1\stefan~1\anwend~1\chicad~1\memo amok soft.exe löschen; Nochmal Avenger http://filepony.de/download-the_avenger/ Input script manually (anhaken) kopiere in: View/edit script Zitat:
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten Danach bitte noch einmal ein neues HJ-Log posten, scanne abschließend noch mit PrevX und funde posten... http://www.prevx.com/freescan.asp chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
21.01.2008, 22:23
| #9 |
| | Trojaner ADW ADCLICKER.BJ was soll ich tun?? Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\maotkk^f ******************* Script file located at: \??\C:\WINDOWS\system32\euqaraps.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\DOKUME~1\STEFAN~1\ANWEND~1\CHICAD~1\Site Great Nurb.exe deleted successfully. File c:\dokume~1\stefan~1\anwend~1\chicad~1\memo amok soft.exe deleted successfully. File C:\WINDOWS\Tasks\84D2B2018B4128A1.job not found! Deletion of file C:\WINDOWS\Tasks\84D2B2018B4128A1.job failed! Could not process line: C:\WINDOWS\Tasks\84D2B2018B4128A1.job Status: 0xc0000034 Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|JoyIdol Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|JoyIdol failed! Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. Security Product Trend Micro PC-cillin Internet Security 14 Version 14.00.1479 Windows Windows XP Home Service Pack 2 (Build 2600) 32bit Scans 1 (First Scan: Jan 21 21:14 UCT Last Scan: Jan 21 21:21 UCT) Files Checked 4,836 Bad Files 0 Your Computer Status CLEAN Ok... ist er jetzt clean?? =) |
|
21.01.2008, 22:32
| #10 |
| Gast | Trojaner ADW ADCLICKER.BJ was soll ich tun?? Poste ein HJT-Log! Vorher bitte nach GUA's Anweisung editieren. (Beide Links sind in meiner Signatur) |
|
24.01.2008, 18:18
| #11 |
| | Trojaner ADW ADCLICKER.BJ was soll ich tun?? Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:09:09, on 25.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\SYSTEM32\SVCHOST.EXE C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\SYSTEM32\SPOOLSV.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\TRENDM~1\INTERN~2\PCCTLCOM.EXE C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe C:\PROGRA~1\TRENDM~1\INTERN~2\TMPROXY.EXE C:\WINDOWS\Explorer.EXE C:\PROGRA~1\TRENDM~1\INTERN~2\TMPFW.EXE C:\Programme\Apoint2K\Apoint.exe C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Apoint2K\Apntex.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\WINDOWS\system32\wscntfy.exe C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE C:\Programme\D-Link\AirPlus XtremeG Utility\AirPlusCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\Programme\MessengerPlus! 3\MsgPlus.exe C:\Programme\Winamp\winampa.exe C:\Programme\Trend Micro\Internet Security 14\pccguide.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Eraser\eraser.exe C:\PROGRAMME\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAMME\ARCSOFT\TOTALMEDIA 2\TMMONITOR.EXE C:\Programme\iPod\bin\iPodService.exe C:\Programme\MSN Messenger\usnsvc.exe C:\DOKUME~1\ESTEBAN~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HiJackThis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8l.hpwis.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {847A0015-1F0F-5373-8EE0-E8026E3BE485} - C:\DOKUME~1\ESTEBAN~1\ANWEND~1\CHINKE~1\Web Extra.exe (file missing) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar5.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar5.dll O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62" O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE O4 - HKLM\..\Run: [D-Link AirPlus XtremeG Utility] C:\Programme\D-Link\AirPlus XtremeG Utility\AirPlusCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security 14\pccguide.exe" O4 - HKLM\..\Run: [Phone program roam for] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memobonephoneprogram\GreatMapi.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Loud Idol Setup Grid] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\4 Curb Loud Idol\Inside Shim.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [JoyIdol] C:\DOKUME~1\STEFAN~1\ANWEND~1\CHICAD~1\Site Great Nurb.exe O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: TMMonitor.lnk = C:\Programme\ArcSoft\TotalMedia 2\TMMonitor.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing) O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesit.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesit.dll O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://de8l.hpwis.com O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfalrm.com/images/nocache/funwebproducts/ei/CursorManiaFWBInitialSetup1.0.0.15.cab O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zoone.msn.com/binary/msgrchkr.cab56986.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://centrocapista7.spaces.live.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141938491687 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zonje.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenjger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game03.zylom.com/activex/zylomgamesplayer.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zoone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\TmPfw.exe O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe -- End of file - 10704 bytes ist das das richtige?? |
|
25.01.2008, 09:02
| #12 |
| | Trojaner ADW ADCLICKER.BJ was soll ich tun?? Hi, der Rechner hat sich die nächsten Sachen "gezogen": O4 - HKCU\..\Run: [JoyIdol] C:\DOKUME~1\STEFAN~1\ANWEND~1\CHICAD~1\Site Great Nurb.exe (Ist immer noch da) Neu: O4 - HKLM\..\Run: [Loud Idol Setup Grid] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\4 Curb Loud Idol\Inside Shim.exe Deinstalliere MessengerPlus (der installiert Adware mit, wenn man nicht aufpasst) und lösche die genannten Dateien... Scanne mit PrevX und poste den Report/Funde: http://www.prevx.com/freescan.asp Anschärfen von Avira: Stelle Avira wie folgt ein: http://www.trojaner-board.de/showthread.php?t=54192 Führe einen Systemscan durch und poste das Ergebnis! chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
25.01.2008, 19:59
| #13 |
| | Trojaner ADW ADCLICKER.BJ was soll ich tun?? Hi, ...muss ich Messenger plus wirklich löschen?? ...wenn ich es lösche verliere ich alle kontakte... |
|
31.01.2008, 13:35
| #14 |
| | Trojaner ADW ADCLICKER.BJ was soll ich tun?? halloo?? =) ...muss ich msn wirklich löschen ? |
|
31.01.2008, 13:46
| #15 |
 | Trojaner ADW ADCLICKER.BJ was soll ich tun?? ? du verlierst kontakte wenn du msn löscht? du kannst doch einen client deiner Wahl benutzen?! ich z.b benutze Pidgin für msn und icq |
|
| Themen zu Trojaner ADW ADCLICKER.BJ was soll ich tun?? |
| .dll, 2dateien, antivirus, application, attention, avira, dateien, drivers, einstellungen, eraser, firefox, google, heulen, home, homepage, infected, internet, internet explorer, internet security, microsoft, mozilla, mozilla firefox, msn, problem, programm, programme, realtek, security, server, software, trojaner, windows, windows xp |
Linear-Darstellung
