| |
| |||||||
Log-Analyse und Auswertung: Werbefenster werden geöffnetWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
11.03.2008, 18:10
| #1 |
| |  Werbefenster werden geöffnet Hallo, folgendes Problem: Ich hab vor kurzem meine Vorinstallierte McAffee Sicherheitssoftware deinstalliert und statt dessen was kostenloses drauf gemacht weil das Abo abgelaufen war. Nun scheint es so, dass die Software irgendwie nen Popup blocker hatte, oder aber ich den Virus neu eingefangen habe. Jedenfalls öffnet sich jetzt immer wenn ich ne Seite öffne eine werbeseite, sowohöl beim IE als auch bei Mozilla. Wenn ich zB auf ps.de gehe öffnet sich ne pokerseite, manchmal handyscout oder antivirensoftware. Ich habe bereits Kaspersky online scanner durchlaufen lassen, SuperAntispyware und Hijackthis. Hijackthislog hefte ich mal dran. Bitte um Hilfe. Danke im Vorraus. Logfile of HijackThis v1.99.1 Scan saved at 5:37:56 PM, on 3/11/2008 Platform: Unknown Windows (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16609) Running processes: C:\Windows\system32\Dwm.exe C:\Windows\system32\taskeng.exe C:\Windows\Explorer.EXE C:\Program Files\Samsung\Samsung Recovery Solution II\WCScheduler.exe C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe C:\Windows\system32\taskeng.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Windows\System32\rundll32.exe C:\Windows\System32\rundll32.exe C:\Program Files\Intel\Intel Media Share Software\Viivmonitor.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Grisoft\AVG7\avgcc.exe C:\Windows\ehome\ehtray.exe C:\Users\Admin\AppData\Local\ntcsy.exe C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe C:\Windows\ehome\ehmsas.exe C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe C:\Program Files\Internet Explorer\ieuser.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Windows\system32\Macromed\Flash\FlashUtil9d.exe C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Users\Admin\Desktop\Programme\HijackThis.exe C:\Windows\system32\DllHost.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [IaNvSrv] C:\Program Files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe O4 - HKLM\..\Run: [Play AVStation TV Scheduler] C:\Program Files\Samsung\Play AVStation\TvScheduler.exe O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ViivMonitor] C:\Program Files\Intel\Intel Media Share Software\ViivMonitor.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [ntcsy] c:\users\admin\appdata\local\ntcsy.exe ntcsy O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: VPN Client.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\Party Gaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\Party Gaming\PartyPoker\RunApp.exe O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll O11 - Options group: [INTERNATIONAL] International* O13 - Gopher Prefix: O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/part...can_unicode.cab O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll O20 - Winlogon Notify: avgwlntf - C:\Windows\SYSTEM32\avgwlntf.dll O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\VPN Client\cvpnd.exe O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Intel® Media Share Synch Service (IMSSync) - Intel® Corporation - C:\Program Files\Intel\Intel Media Share Software\IMSSync.exe O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing) O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing) O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing) |
|
11.03.2008, 18:44
| #2 |
| | Werbefenster werden geöffnet ich bin zwar kein experte aba ich hatte mal ein ähnliches problem
__________________versuch doch mal spyware doctor einen scan zu machen das is eigentlich ein gutes programm |
|
11.03.2008, 19:38
| #3 |
| | Werbefenster werden geöffnet Spywaredoctor hat was gefunden, insagesammt 31 Sachen oder so, aber will die nicht entfernen ohne das ich das Programm kaufe.
__________________ |
|
12.03.2008, 08:44
| #4 |
| | Werbefenster werden geöffnet Hi, erst mal zu deinen Problem mit dem Programm. Wenn du dir das im GooglePack holst, entfernt er dir auch die gefundenen Sachen ohne das du es kaufen musst. Und zu deinem Problem, vielleicht hilft dir ja dieses Thema weiter: http://www.trojaner-board.de/34856-werbefenster-oeffnen-sich.html Viele grüße sven |
|
12.03.2008, 10:15
| #5 |
| | Werbefenster werden geöffnet Habe das aus dem anderen theat schon versucht bevor ich gepostet habe, hat nur leider nix gebracht. Ad-aware findet immer so 14 Sachen, die lass ih removen, scanne nochmal sind sie wieder da. Könnte es das sein? |
|
14.03.2008, 12:03
| #6 |
| | Werbefenster werden geöffnet Ich habe jetzt mal im Abgesicherten Modus Ad-aware und Spybot S&D durchlufen lassen. Spybot findet gar nix und Ad-aware findet irgendwelche Cookies, und sagt, es könne sie nachm neustart entfernen, aber wenn ichs dann nochmal durchlafen lasse sind sie wieder da. Diverse Virenscanner finden auch nix un jetzt weiß ich nicht mehr weiter. Habe auch mal ne einfache Sytemwiederherstellung gemacht, bei der nur die Windowsdateien wiederhergestellt werden (mit Samsung Recovery Solution) aber auh das bringt nix. Hilfe? |
|
14.03.2008, 12:33
| #7 | ||
  | Werbefenster werden geöffnet Hallo kannst du alle versteckten Dateien und Ordner sehen? Lass bitte diese Datei Zitat:
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(080218) oder hier Jotti überprüfen (kann einige Minuten dauern), poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde. Zitat:
Erstelle bitte auch ein neues HijackThis Log mit der aktuellen Version TrendSecure | TrendMicro™ HijackThis™ Overview MFG |
|
14.03.2008, 17:48
| #8 |
| | Werbefenster werden geöffnet Habe bei Sypwaredoctor die Googleversion installiert und die Sachen gelöscht, weß nicht mehr was es war, hat aber nix gebracht. Habe die Datei c:\users\admin\appdata\local\ntcsy.exe gescanntund folgendes Log erhalten: Antivirus Version Last Update Result AhnLab-V3 2008.3.15.0 2008.03.14 - AntiVir 7.6.0.73 2008.03.14 - Authentium 4.93.8 2008.03.13 - Avast 4.7.1098.0 2008.03.13 - AVG 7.5.0.516 2008.03.14 - BitDefender 7.2 2008.03.14 - CAT-QuickHeal 9.50 2008.03.14 (Suspicious) - DNAScan ClamAV 0.92.1 2008.03.14 - DrWeb 4.44.0.09170 2008.03.14 - eSafe 7.0.15.0 2008.03.09 - eTrust-Vet 31.3.5614 2008.03.14 - Ewido 4.0 2008.03.14 - F-Prot 4.4.2.54 2008.03.13 W32/Dialer.B.gen!Eldorado F-Secure 6.70.13260.0 2008.03.14 Suspicious:W32/Malware!Gemini FileAdvisor 1 2008.03.14 - Fortinet 3.14.0.0 2008.03.14 - Ikarus T3.1.1.20 2008.03.14 - Kaspersky 7.0.0.125 2008.03.14 - McAfee 5251 2008.03.13 - Microsoft 1.3301 2008.03.13 - NOD32v2 2948 2008.03.14 - Norman 5.80.02 2008.03.14 - Panda 9.0.0.4 2008.03.13 - Prevx1 V2 2008.03.14 Heuristic: Suspicious Self Modifying EXE Rising 20.35.42.00 2008.03.14 - Sophos 4.27.0 2008.03.14 - Sunbelt 3.0.963.0 2008.03.14 - Symantec 10 2008.03.14 - TheHacker 6.2.92.245 2008.03.14 - VBA32 3.12.6.2 2008.03.13 - VirusBuster 4.3.26:9 2008.03.14 - Webwasher-Gateway 6.6.2 2008.03.14 Virus.Win32.FileInfector.gen (suspicious) Additional information File size: 391168 bytes MD5: 3bb90c57c05fe08a0c9d9559c151ab28 SHA1: f187d9e5ba041fe70a370c7349a145d1b22bac29 PEiD: - packers: UPX packers: PE_Patch Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=B114506800AAAF9CF8120585A45B50007FD38C71 |
|
14.03.2008, 23:07
| #9 | ||
| | Werbefenster werden geöffnet Hallo Zitat:
Schick die Datei bitte mal an Bitdefender und Kaspersky die E-Mail Adressen findest du hier http://www.trojaner-board.de/19273-v...einsenden.html und auch wie dies gemacht werden sollte. Außerdem lade die Datei mal hier hoch Submit your sample du bekommst nach zwei bis drei Tagen das Ergebnis, das du hier posten kannst. Wenn die Datei versand worden ist starte HijackThis --> wähle "Open the Misc Tools section" --> "Misc Tools" anwählen --> Delete a file on reboot --> wähle die zu löschende Datei --> die Frage zum Neustart mit "Nein" beantworten --> die Frage des Neustarts erst mit "Ja" beantworten wenn alle Dateien ausgewählt wurden. Wähle folgende Datei(en) : Zitat:
Kontrolliere bitte nach dem Neustart ob die Datei gelöscht wurde. MFG |
|
18.03.2008, 01:12
| #10 |
| | Werbefenster werden geöffnet Kannst du btte nochmal den Link zum sehen von versteckten Dateien und Ordnern überprüfen? Bei mir geht der nicht und ich finde die Datei nicht. |
|
18.03.2008, 05:55
| #11 | |
| | Werbefenster werden geöffnet Moin Zitat:
http://www.trojaner-board.de/59624-a...-sichtbar.html oder hier http://sicher-ins-netz.info/images/o...pt-ansicht.png sollte das auch nicht fruchten kopiere (mit der Maus makieren und STRG-C) diesen Pfad ab Code:
ATTFilter c:\users\admin\appdata\local\ntcsy.exe
MFG |
|
18.03.2008, 11:07
| #12 |
  | Werbefenster werden geöffnet Hallo, wahrscheinlich kann man die Datei im Combofix sichtbar machen  - oder gleich auslöschen.combofix anwenden + das Log hier posten --- eine andere Möglichkeit wäre, mit F-Secure zu scanne, der erkennt/löscht den Virus/Dialer Online Virenscanner
__________________ MfG Sabina |
|
| Themen zu Werbefenster werden geöffnet |
| add-on, agere systems, alert, avg, bho, defender, desktop, e-mail, excel, firefox, helper, hijack, internet, internet explorer, kaspersky, mozilla firefox, object, plug-in, pokerseite, popup, problem, rundll, scan, server, solution, superantispyware, svchost.exe, system, toolbars, unknown file in winsock lsp, virus, virus neu, werbefenster, windows, windows defender |
Linear-Darstellung
