Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Werbepopups-HJT logfile

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 03.06.2008, 08:37   #1
amici
 
Werbepopups-HJT logfile - Standard

Werbepopups-HJT logfile



Habe mir vermutlich von einem weiterführenden Link der stern.xde - seite was geholt! Habe danach kasperski - online- scanner und bitdefender über den rechner laufen lassen. Konnte die log-files aber nicht speichern, da der Rechner vorher eingefroren ist. Habe dann SmitFraudFix (unter Anleitung vom Trojanerboard) ausgeführt (auch im abgesicherten Modus). Hat das Problem aber nicht behoben. Hier nun mein Logfile (mit einem tiiieefen Einblick in meinen Rechner) von Hjt. Ich würde mich sehr freuen, wenn mir jemand mit meinem Problem helfen kann: Was habe ich mir (alles) eingefangen? Und wie kann ich es wieder los werden?

Vielen Dank schonmal im Vorraus!

PS: Ich sehe hier im Logfile einige Sachen, von denen ich geglaubt habe, sie bereits vor ewigkeiten gelöscht zu haben, sogar mit nem reg-cleaner....hmmmm....

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:58:41, on 03.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Aspire Arcade\PCMService.exe
C:\Programme\CRW\shwicon.exe
C:\PROGRA~1\LAUNCH~1\CPLCL32.EXE
C:\Programme\D-Tools\daemon.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programme\lg_fwupdate\fwupdate.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ncntpkdm.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\DOKUME~1\XXX\EIGENE~1\WNSXS~1\spoolsv.exe
C:\Programme\Common Files\s?stem32\n?pdb.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://web.de/
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Aspire Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ShowIcon_Chander_CRW Series Driver v1.17r019] C:\Programme\CRW\shwicon.exe -t"Chander\CRW Series Driver v1.17r019"
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLCL32.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe blrun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [{91-16-6F-F0-DW}] C:\windows\system32\jownw64p.exe DWramFF
O4 - HKLM\..\Run: [ExploreUpdSched] C:\WINDOWS\system32\ncntpkdm.exe DWramFF
O4 - HKLM\..\Run: [{f2e70e87-e62a-84eb-4edf-08f9de8453fd}] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll" DllInit
O4 - HKLM\..\Run: [2629165f] rundll32.exe "C:\WINDOWS\system32\bbjvelkl.dll",b
O4 - HKLM\..\Run: [BM251a25c3] Rundll32.exe "C:\WINDOWS\system32\dskmmygx.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Oece] "C:\DOKUME~1\XXX\EIGENE~1\WNSXS~1\spoolsv.exe" -vt yazb
O4 - HKCU\..\Run: [Voksroi] "C:\Programme\Common Files\s?stem32\n?pdb.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: SchleppNetz.lnk = C:\Programme\SchleppNetz\SchleppNetz.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\jownw64p.exe
O4 - Startup: Deewoo.lnk = C:\WINDOWS\system32\ncntpkdm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - h**p://appldnld.m7z.net/content.info.apple.com/iTunes4/WW/win/019-0312.20050111.MmVrT/iTunesSetup.exe
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - h**ps://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan_de/scan8/oscan8.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 9759 bytes

Alt 03.06.2008, 13:32   #2
amici
 
Werbepopups-HJT logfile - Standard

Werbepopups-HJT logfile



so...habe jetzt counterspy im abgesicherten modus laufen lassen. Hat 18 trojaner gefunden. als ich dann auf result clicke.......nichts.....wo nichts is, kann auch nichts gelöscht werden. Ich weiß nicht, was ich jetzt noch machen soll ohne hilfe. Wenigstens weiß ich, daß einer der trojaner Trojan.BHO.Gen. heißt. Kann mir, reiner anwender...., denn jemand helfen, bitte?
__________________


Alt 03.06.2008, 13:47   #3
Chris4You
 
Werbepopups-HJT logfile - Standard

Werbepopups-HJT logfile



hi,

hmm, eigentlich wäre neu aufsetzten angebracht...
Das sieht nicht gut aus...

Bevor ich mir einen abbreche:
Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Danach bitte ein neues HJ-Log und das Log von Combofix...

chris
__________________
__________________

Alt 03.06.2008, 13:57   #4
amici
 
Werbepopups-HJT logfile - Standard

Werbepopups-HJT logfile



Bin jetzt im normalen Modus nochmal in counterspy "reingeganen", und habe dort zumindest in der history einen "logfile?" gefunden.

Es tut mir übrigens leid, wenn ich dadurch meine posts so lang mache, ich weiß aber nicht, wie ich diese fenster erstellen kann...vielleicht kann mir da auch jmd. helfen...-übrigens-überall wo xxx steht, stand mein name....
Also hier die history:

Scan History Details
Start Date: 03.06.2008 12:23:55
End Date: 03.06.2008 14:02:38
Total Time: 98 Min 43 Sec
Detected security risks

ClickSpring.PuritySCAN Adware (General) more information...
Details: PurityScan is an ad supported program that scans the user's Internet Explorer files, including browser cache, cookies and history for pornographic/adult related words and allows the user to delete them.
Status: Ignored

Files detected
C:\Dokumente und Einstellungen\xxx\Eigene Dateien\W?nSxS\spoolsv.exe
C:\Programme\Common Files\s?stem32\n?pdb.exe
C:\Programme\Gemeinsame Dateien\Yazzle1281OinUninstaller.exe

Registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OUTERINFO
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OUTERINFO
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OUTERINFO
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OUTERINFO
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OUTERINFO
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OUTERINFO
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OUTERINFO
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OUTERINFO
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OUTERINFO
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OUTERINFO


Zenotecnico Adware (General) more information...
Details: Zenotecnico is a program used to display pop-up advertisements based upon user browsing habits.
Status: Ignored

Files detected
C:\WINDOWS\system32\msnav32.ax
C:\WINDOWS\system32\zxdnt3d.cfg


Command Service Adware (General) more information...
Details: Command Service is an adware application that opens pop-ups and displays various types of advertising on the user's desktop while browsing web pages.
Status: Ignored

Registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\POLICIES
HKEY_LOCAL_MACHINE\SOFTWARE\POLICIES


Yazzle Components Misc (General) more information...
Details: Yazzle Components includes software that is used by multiple applications from Clickspring, LLC, the authors of Yazzle applications such as Yazzle Sudoku, Cowabanga and Snowball Wars.
Status: Ignored

Files detected
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\yazzsnet.exe


ClickSpring.Oinadserver Browser Plug-in more information...
Details: ClickSpring.Oinadserver is an adware browser plug-in that is typically installed without user knowledge or consent and that generates unwanted pop-up advertising on the desktop.
Status: Ignored

Files detected
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\outerinfo.ico
C:\PROGRAMME\OUTERINFO\FF\chrome.manifest
C:\PROGRAMME\OUTERINFO\FF\components\OuterinfoAds.xpt
C:\PROGRAMME\OUTERINFO\FF\install.rdf
C:\PROGRAMME\OUTERINFO
C:\PROGRAMME\OUTERINFO\FF
C:\PROGRAMME\OUTERINFO\FF\COMPONENTS


WaveRevenue-McBoo Trojan Downloader more information...
Status: Ignored

Files detected
C:\WINDOWS\mrofinu1000106.exe


Adware.Agent.gen Adware (General) more information...
Status: Ignored

Files detected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BitDefender\Desktop\Quarantine\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll


Cookie: Tracking Cookies Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count unique visitors to web pages; and to allow web surfers to use virtual "shopping carts." Online advertising networks use cookies to track users across web sites and to measure ad impressions and click-throughs.
Status: Ignored

Cookies detected
c:\dokumente und einstellungen\xxx\cookies\xxx@247realmedia[1].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@2o7[1].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@ad.yieldmanager[1].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@ad.yieldmanager[2].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@ad.yieldmanager[3].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@ad.yieldmanager[4].txt
c:\dokumente und einstellungen\\cookies\xxx@ad.yieldmanager[5].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@adrevolver[2].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@advertising[2].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@apmebf[2].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@atdmt[2].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@atdmt[3].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@banner.joylandcasino[2].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@clickbank[1].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@doubleclick[1].txt
c:\dokumente und einstellungen\xxxa\cookies\xxx@doubleclick[2].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@emjcd[2].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@joylandcasino[1].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@mediaplex[1].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@mediaplex[2].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@shareit[1].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@statcounter[2].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@statcounter[3].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@tradedoubler[1].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@w*w.bigfishgames[2].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@zedo[2].txt


AntiSpywareMaster Rogue Security Program more information...
Status: Ignored

Files detected
C:\PROGRAMME\ANTISPYWAREMASTER\asm.exe
C:\PROGRAMME\ANTISPYWAREMASTER


Trojan.BHO.Gen Trojan more information...
Status: Ignored

Files detected
c:\WINDOWS\system32\ijs.dll

Alt 03.06.2008, 14:03   #5
amici
 
Werbepopups-HJT logfile - Standard

Werbepopups-HJT logfile



sorry, da hat sich was überschnitten.


Also combofix....alles Klar, mach ich sofort!

Danke schonmal!


Alt 03.06.2008, 14:03   #6
Chris4You
 
Werbepopups-HJT logfile - Standard

Werbepopups-HJT logfile



Hi,

bitte wie unten angegeben verfahren, dann sehen wir weiter...
Einige Sachen sind bereit in Quarantäne von Bitdefender, andere sind noch aktiv...

chris
__________________
--> Werbepopups-HJT logfile

Alt 03.06.2008, 15:35   #7
amici
 
Werbepopups-HJT logfile - Standard

Werbepopups-HJT logfile



Hallo Chris4you und Andere,

Combofix ist fertig: Hier ist der logfile:

P.S.: Dieser lange post ist mir sehr unangenehm, weiß aber nicht, wie ich dieses "Fenster" hinbekomme....also entschuldigung bitte für den langen post.

ComboFix 08-06-01.6 - xxx2008-06-03 15:10:36.1 - FAT32x86
ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon\domains.txt
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon\log.txt
C:\Dokumente und Einstellungen\xxx\Eigene Dateien\WNSXS~1
C:\Dokumente und Einstellungen\xxx\Eigene Dateien\WNSXS~1\W?nSxS\
C:\Programme\AntiSpywareMaster
C:\Programme\AntiSpywareMaster\asm.exe
C:\Programme\outerinfo
C:\Programme\outerinfo\FF\chrome.manifest
C:\Programme\outerinfo\FF\components\OuterinfoAds.xpt
C:\Programme\outerinfo\FF\install.rdf
C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\Temp\vtmp2
C:\Temp\vtmp2\ktnv33.log
C:\WINDOWS\BM251a25c3.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\bbjvelkl.dll
C:\WINDOWS\system32\dskmmygx.dll
C:\WINDOWS\system32\fPWyJkkj.ini
C:\WINDOWS\system32\fPWyJkkj.ini2
C:\WINDOWS\system32\jkkJyWPf.dll
C:\WINDOWS\system32\lklevjbb.ini
C:\WINDOWS\system32\mlJCTLfd.dll
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\msnav32.ax
C:\WINDOWS\system32\nwbyosom.exe
C:\WINDOWS\system32\pac.txt
C:\WINDOWS\system32\verjjyol.dll
C:\WINDOWS\system32\vtUnnoll.dll
C:\WINDOWS\system32\xkkjkxbd.ini
C:\WINDOWS\system32\zxdnt3d.cfg

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CMDSERVICE
-------\Legacy_NETWORK_MONITOR


((((((((((((((((((((((( Dateien erstellt von 2008-05-03 bis 2008-06-03 ))))))))))))))))))))))))))))))
.

2008-06-03 12:23 . 2008-06-03 12:23 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sunbelt Software
2008-06-03 12:23 . 2008-06-03 14:20 104 --a------ C:\WINDOWS\system32\SBRC.dat
2008-06-03 11:53 . 2008-06-03 11:53 15,544 --a------ C:\WINDOWS\system32\drivers\sbhr.sys
2008-06-03 11:52 . 2008-06-03 11:52 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Sunbelt Software
2008-06-03 11:51 . 2008-06-03 11:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sunbelt Software
2008-06-03 11:50 . 2008-06-03 11:50 <DIR> d-------- C:\Programme\Sunbelt Software
2008-06-03 08:57 . 2008-06-03 08:57 <DIR> d-------- C:\Programme\Trend Micro
2008-06-03 08:55 . 2008-06-03 08:55 812,344 --a------ C:\Programme\HJTInstall.exe
2008-06-03 08:40 . 2003-10-01 14:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-06-03 08:40 . 2003-10-01 15:10 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-06-03 08:40 . 2003-10-01 15:30 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InterTrust
2008-06-03 08:40 . 2003-10-01 14:54 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-06-03 08:40 . 2003-01-21 03:00 13,095,560 -ra------ C:\Dokumente und Einstellungen\Administrator\MpSetup.exe
2008-06-03 08:39 . 2003-10-01 14:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-06-03 08:39 . 2003-10-01 14:54 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-06-03 08:39 . 2003-10-01 14:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-06-03 08:39 . 2003-10-01 15:10 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-06-03 08:39 . 2003-10-01 14:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-06-03 08:39 . 2008-06-03 08:39 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-06-03 08:29 . 2008-06-03 08:45 4,484 --a------ C:\WINDOWS\system32\tmp.reg
2008-06-03 08:28 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-06-03 08:28 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-06-03 08:28 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-06-03 08:28 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-06-03 08:28 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\404Fix.exe
2008-06-03 08:28 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-06-03 08:28 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-06-03 08:28 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-06-02 23:48 . 2008-06-02 23:48 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-06-02 21:32 . 2008-06-02 21:32 401,972 --a------ C:\WINDOWS\system32\g94.exe
2008-06-02 21:32 . 2008-06-02 21:32 63,902 --a------ C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll-uninst.exe
2008-06-02 20:18 . 2008-06-02 20:18 13,502 --a------ C:\WINDOWS\system32\TuneclubIconDE.ico
2008-06-02 20:17 . 2008-06-02 20:17 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-06-02 20:17 . 2008-06-02 20:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-06-02 20:14 . 2008-06-02 20:14 298,311 --a------ C:\WINDOWS\system32\gside.exe
2008-06-02 20:14 . 2008-06-02 20:14 200,768 --a------ C:\WINDOWS\system32\ncntpkdm.exe
2008-06-02 20:14 . 2008-06-02 20:14 860 --a------ C:\WINDOWS\system32\winpfz33.sys
2008-06-02 19:33 . 2008-06-02 19:33 <DIR> d-------- C:\WINDOWS\system32\yW3
2008-06-02 19:33 . 2008-06-02 19:33 <DIR> d-------- C:\WINDOWS\system32\vntiho01
2008-06-02 19:33 . 2008-06-02 19:33 <DIR> d-------- C:\WINDOWS\system32\hIP5
2008-06-02 19:33 . 2008-06-02 19:33 <DIR> d-------- C:\WINDOWS\system32\cA1
2008-06-02 19:33 . 2008-06-02 19:33 <DIR> d--hs---- C:\WINDOWS\bXVuYQ
2008-06-02 19:33 . 2008-06-02 19:33 41,984 --a------ C:\WINDOWS\mrofinu572.exe.tmp
2008-06-02 19:33 . 2008-06-02 19:37 41,984 --a------ C:\WINDOWS\mrofinu572.exe
2008-06-02 19:33 . 2008-06-02 19:33 41,984 --a------ C:\WINDOWS\mrofinu1000106.exe
2008-05-27 20:14 . 2008-05-27 20:14 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\ABBYY
2008-05-26 23:18 . 2008-05-26 23:18 <DIR> d-------- C:\users
2008-05-26 23:18 . 2008-05-26 23:18 <DIR> d-------- C:\My Games
2008-05-26 23:17 . 2008-05-26 23:17 <DIR> d-------- C:\Programme\RealArcade
2008-05-26 22:37 . 2008-05-26 22:37 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\U3
2008-05-26 09:22 . 2008-05-26 09:22 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-26 09:22 . 2008-05-26 09:22 1,409 --a------ C:\WINDOWS\QTFont.for
2008-05-22 21:32 . 2008-05-22 22:55 906,878,050 --a------ C:\Programme\ArcGIS-Desktop9.zip
2008-05-21 18:00 . 2008-05-21 18:00 <DIR> d-------- C:\Programme\FileZilla FTP Client
2008-05-21 17:45 . 2008-05-21 17:45 <DIR> d-------- C:\Programme\ViennaSoft
2008-05-21 17:35 . 2008-05-21 17:35 <DIR> d-------- C:\Programme\Foxit Software
2008-05-21 17:27 . 2008-05-21 17:27 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\FileZilla
2008-05-18 22:37 . 2008-05-18 22:37 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\JLC's Software
2008-05-18 22:36 . 2008-05-18 22:36 <DIR> d-------- C:\Programme\Internet_TV
2008-05-07 18:41 . 2008-05-07 18:41 165,376 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2008-05-07 18:41 . 2008-05-07 18:41 18,048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2008-05-07 18:40 . 2008-05-07 18:40 <DIR> d-------- C:\Programme\XviD
2008-05-07 17:56 . 2008-05-07 17:56 <DIR> d-------- C:\Programme\Bad Day LA
2008-05-03 11:10 . 2008-05-03 11:10 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Magic Academy

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-29 18:48 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Land Of Runes
2008-04-28 19:49 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\cerasus.media
2008-02-08 19:11 6,633,648 ----a-w C:\Programme\Synaptics Touchpad Driver for Windows 2000 WinXP Version 7.6.5.zip
2008-02-02 13:34 553,687 ----a-w C:\Programme\RegCleaner.exe
2008-02-01 18:54 4,096 --sha-w C:\Programme\Gemeinsame Dateien\Thumbs.db
2008-01-07 21:20 1,878,914 ----a-w C:\Programme\VA.exe
2008-01-07 20:58 8,628 ---ha-w C:\Programme\Gemeinsame Dateien\Fontinfo.GID
2008-01-07 20:32 1,906,516 ----a-w C:\Programme\LA.exe
2007-12-07 11:46 7,948,064 ----a-w C:\Programme\5100_deu_win2k_xpinfu.exe
2007-12-07 11:46 1,145 ----a-w C:\Programme\sfx.log
2007-08-30 17:25 60,544 ----a-w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-08-10 20:01 6,433,401 ----a-w C:\Programme\Thoosje Sidebar installer.exe
2007-04-22 16:43 180,066 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2005-03-19 22:27 2,652,488 ----a-w C:\Programme\SmartInstall_30.exe
2004-05-22 03:36 24,041,480 ----a-w C:\Programme\Golden.Software.Grapher.v4.00.Retail.zip
2004-03-05 19:13 1,760,378 ----a-w C:\Programme\aaw6.exe
2004-03-02 20:37 957,465 ----a-w C:\Programme\wrar320d.exe
2004-02-18 18:29 146,084 ----a-w C:\Programme\SetupSnz100.exe
2004-02-13 20:47 3,773,576 ----a-w C:\Programme\DivXPlayerInstaller.exe
2003-11-08 00:03 176 ----a-w C:\Programme\hpsfx.ini
2003-11-06 07:09 2,206,317 ----a-w C:\Programme\Gemeinsame Dateien\Fontinfo.hlp
2003-01-21 01:00 13,095,560 ----a-r C:\WINDOWS\system32\config\systemprofile\MpSetup.exe
2003-01-21 01:00 13,095,560 ----a-r C:\Dokumente und Einstellungen\xxx\MpSetup.exe
2003-01-21 01:00 13,095,560 ----a-r C:\Dokumente und Einstellungen\Default User\MpSetup.exe
1996-04-09 20:47 766 ----a-w C:\Programme\Gemeinsame Dateien\Will.ico
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,744 --sh--r C:\WINDOWS\system32\msfDX.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{63b7168f-63ac-9dfa-b343-beef7a469006}]
C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]
"PcSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-06-27 16:21 1449984]
"PowerBar"="" []
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 19:04 139264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"ATIModeChange"="Ati2mdxx.exe" [2003-09-12 02:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-08-12 21:10 335872]
"SoundMan"="SOUNDMAN.EXE" [2003-07-12 11:53 54784 C:\WINDOWS\SOUNDMAN.EXE]
"AGRSMMSG"="AGRSMMSG.exe" [2003-08-29 05:10 88267 C:\WINDOWS\AGRSMMSG.exe]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2003-08-29 06:01 110592]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2003-08-29 06:01 618496]
"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe" [2003-08-19 17:23 32873]
"PCMService"="C:\Program Files\Aspire Arcade\PCMService.exe" [2003-09-29 16:03 73728]
"ShowIcon_Chander_CRW Series Driver v1.17r019"="C:\Programme\CRW\shwicon.exe" [2003-01-09 00:05 73728]
"LManager"="C:\PROGRA~1\LAUNCH~1\CPLCL32.EXE" [2003-10-18 13:27 352256]
"DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe" [2003-10-02 02:20 81920]
"Corel Reminder"="" []
"PCSuiteTrayApplication"="C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.exe" [2006-06-15 12:36 229376]
"LGODDFU"="C:\Programme\lg_fwupdate\fwupdate.exe" [2007-04-12 00:08 249856]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40 155648]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-07-04 00:05 185896]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-06-29 06:24 286720]
"BDAgent"="C:\Programme\Softwin\BitDefender10\bdagent.exe" [2007-03-26 15:49 69632]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"{91-16-6F-F0-DW}"="C:\windows\system32\jownw64p.exe" [ ]
"{f2e70e87-e62a-84eb-4edf-08f9de8453fd}"="C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll" [ ]
"SBCSTray"="C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-12-21 15:30 698864]
"ExploreUpdSched"="C:\WINDOWS\system32\ncntpkdm.exe" [2008-06-02 20:14 200768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 08:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=sockspy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"msacm.l3acm"= l3codecp.acm
"VIDC.IV41"= ir41_32.dll
"vidc.yv12"= yv12vfw.dll
"msacm.divxa32"= DivXa32.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Proximotron\\Proxomitron.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\groove.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:160.45.252.0/255.255.255.0,172.24.0.0/255.255.255.0:Enabled:IKE-500
"4500:UDP"= 4500:UDP:160.45.252.0/255.255.255.0,172.24.0.0/255.255.255.0:Enabled:IKE-4500

R0 pnpshark;pnpshark;C:\WINDOWS\system32\DRIVERS\pnpshark.sys [2003-10-02 03:16]
R0 SBHR;SBHR;C:\WINDOWS\system32\drivers\sbhr.sys [2008-06-03 11:53]
R0 st3shark;st3shark;C:\WINDOWS\system32\DRIVERS\st3shark.sys [2003-09-27 14:37]
R3 SBAPIFS;SBAPIFS;C:\WINDOWS\system32\drivers\sbapifs.sys []
S3 iMSPCLOj;iMSPCLOj;C:\DOKUME~1\xxx\LOKALE~1\Temp\iMSPCLOj.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{187f9730-dfb4-11db-9bee-00042379bcce}]
\Shell\AutoRun\command - H:\wd_windows_tools\setup.exe

*Newly Created Service* - SBAPIFS
.
Inhalt des "geplante Tasks" Ordners
"2008-06-03 14:08:28 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
"2008-05-31 13:05:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien:

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\Programme\Stardock\ObjectDock\DockShellHook.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\MPAPI\MPAPI3S.EXE
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Sunbelt Software\CounterSpy\CounterSpy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-03 16:18:24 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-03 14:16:06

28 Verzeichnis(se), 7,781,416,960 Bytes frei
39 Verzeichnis(se), 9,629,941,760 Bytes frei

255 --- E O F --- 2008-05-27 22:59:33

Alt 03.06.2008, 15:47   #8
amici
 
Werbepopups-HJT logfile - Standard

Werbepopups-HJT logfile



Und hier der Hjt - Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:43:32, on 03.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Aspire Arcade\PCMService.exe
C:\Programme\CRW\shwicon.exe
C:\PROGRA~1\LAUNCH~1\CPLCL32.EXE
C:\Programme\D-Tools\daemon.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programme\lg_fwupdate\fwupdate.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\WINDOWS\system32\ncntpkdm.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: gooochi browser optimizer - {63b7168f-63ac-9dfa-b343-beef7a469006} - C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll (file missing)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Aspire Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ShowIcon_Chander_CRW Series Driver v1.17r019] C:\Programme\CRW\shwicon.exe -t"Chander\CRW Series Driver v1.17r019"
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLCL32.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe blrun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [{91-16-6F-F0-DW}] C:\windows\system32\jownw64p.exe DWramFF
O4 - HKLM\..\Run: [{f2e70e87-e62a-84eb-4edf-08f9de8453fd}] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll" DllInit
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: SchleppNetz.lnk = C:\Programme\SchleppNetz\SchleppNetz.exe
O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\jownw64p.exe
O4 - Startup: Deewoo.lnk = C:\WINDOWS\system32\ncntpkdm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - h**p://appldnld.m7z.net/content.info.apple.com/iTunes4/WW/win/019-0312.20050111.MmVrT/iTunesSetup.exe
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - h**ps://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan_de/scan8/oscan8.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 10036 bytes

Alt 03.06.2008, 16:32   #9
Chris4You
 
Werbepopups-HJT logfile - Standard

Werbepopups-HJT logfile



Hi,

Du solltest unbedingt neu aufsetzten, da ev. ein Rootkit lief/läuft (WINPFZ33.SYS -> WINPFZ37.SYS, Prevx), das hier nur um Backups zu machen!


Bitte folgende Files prüfen:
Zitat:
C:\WINDOWS\system32\ncntpkdm.exe
C:\WINDOWS\system32\winpfz33.sys
C:\WINDOWS\system32\VCCLSID.exe
C:\WINDOWS\system32\g94.exe
C:\WINDOWS\system32\Process.exe -> prüfen, kann von SiRi sein
C:\WINDOWS\system32\WS2Fix.exe -> prüfen, kann von Smithfraudfix sein
C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll-uninst.exe
C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll
C:\Programme\SchleppNetz\SchleppNetz.exe
VirusTotal - Free Online Virus and Malware Scan
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen

Poste jeweils das komplette Ergebniss mit Filename!
Falls eines der Files nicht erkannt wurde, aus dem Avengerscript rausnehmen!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


Code:
ATTFilter
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|{91-16-6F-F0-DW}
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|{f2e70e87-e62a-84eb-4edf-08f9de8453fd}
 
Files to delete:
C:\WINDOWS\system32\VCCLSID.exe->prüfen!
C:\WINDOWS\system32\g94.exe ->prüfen!
C:\WINDOWS\system32\Process.exe ->prüfen, ev. http://www.bleepingcomputer.com/startups/process.exe-7200.html
C:\WINDOWS\system32\WS2Fix.exe ->prüfen!
C:\WINDOWS\system32\gside.exe
C:\WINDOWS\system32\ncntpkdm.exe
C:\WINDOWS\system32\winpfz33.sys -> ev. Rootkit:http://www.prevx.com/filenames/821472523572207814-0/WINPFZ33.SYS.html
C:\WINDOWS\mrofinu572.exe.tmp
C:\WINDOWS\mrofinu572.exe -> http://www.prevx.com/filenames/2960187510749633932-0/MROFINU572.EXE.html
C:\WINDOWS\mrofinu1000106.exe
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\QTFont.for
C:\WINDOWS\system32\tmp.reg
C:\windows\system32\jownw64p.exe ->http://spywarefiles.prevx.com/RREJHI044624981/JOWNW64P.EXE.html
C:\Programme\SchleppNetz\SchleppNetz.exe

Folders to delete:
C:\WINDOWS\bXVuYQ
C:\WINDOWS\system32\yW3
C:\WINDOWS\system32\vntiho01
C:\WINDOWS\system32\hIP5
         
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Code:
ATTFilter
O2 - BHO: gooochi browser optimizer - {63b7168f-63ac-9dfa-b343-beef7a469006} - C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll (file missing)
O4 - HKLM\..\Run: [{91-16-6F-F0-DW}] C:\windows\system32\jownw64p.exe DWramFF
O4 - HKLM\..\Run: [{f2e70e87-e62a-84eb-4edf-08f9de8453fd}] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll" DllInit
O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\jownw64p.exe
         
Bitte noch Antimalewarebyte:
http://www.trojaner-board.de/51187-a...i-malware.html

Und poste ein neues HJ-Log...

Chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 03.06.2008, 16:53   #10
amici
 
Werbepopups-HJT logfile - Standard

Werbepopups-HJT logfile



C:\WINDOWS\system32\ncntpkdm.exe:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.30.1 2008.06.03 -
AntiVir 7.8.0.26 2008.06.03 TR/Downloader.Gen
Authentium 5.1.0.4 2008.06.02 -
Avast 4.8.1195.0 2008.06.03 Win32:ZenoSearch
AVG 7.5.0.516 2008.06.03 Adware Generic3.FYV
BitDefender 7.2 2008.06.03 -
CAT-QuickHeal 9.50 2008.06.03 AdWare.ZenoSearch.bh (Not a Virus)
ClamAV None 2008.06.03 -
DrWeb 4.44.0.09170 2008.06.03 Adware.Hotbot.origin
eSafe 7.0.15.0 2008.06.02 -
eTrust-Vet 31.4.5845 2008.06.03 -
Ewido 4.0 2008.06.03 -
F-Prot 4.4.4.56 2008.06.02 W32/ZenoSearch.B.gen!Eldorado
F-Secure 6.70.13260.0 2008.06.03 -
Fortinet 3.14.0.0 2008.06.03 -
GData 2.0.7306.1023 2008.06.03 Win32:ZenoSearch
Ikarus T3.1.1.26.0 2008.06.03 -
Kaspersky 7.0.0.125 2008.06.03 not-a-virus:AdWare.Win32.ZenoSearch.bh
McAfee 5308 2008.06.02 potentially unwanted program Adware-Zeno
Microsoft 1.3604 2008.06.03 Adware:Win32/ZenoSearch
NOD32v2 3155 2008.06.03 -
Norman 5.80.02 2008.06.03 -
Panda 9.0.0.4 2008.06.03 Suspicious file
Prevx1 V2 2008.06.03 Adware
Rising 20.47.12.00 2008.06.03 -
Sophos 4.29.0 2008.06.03 -
Sunbelt 3.0.1143.1 2008.06.03 -
Symantec 10 2008.06.03 Adware.ZenoSearch
TheHacker 6.2.92.332 2008.06.03 -
VBA32 3.12.6.7 2008.06.03 -
VirusBuster 4.3.26:9 2008.06.03 -
Webwasher-Gateway 6.6.2 2008.06.03 Trojan.Downloader.Gen
weitere Informationen
File size: 200768 bytes
MD5...: cc82a10b705b5483aa76b6e6a4402e15
SHA1..: a07dd580608b83a2ebc71c9545e69f905f3cea90
SHA256: 154641c486b7779d1a1644daf46e27adc6494d0930f87efff656a7ed16d86e11
SHA512: 651cc4c9295d6e11febe451d73616436b2d15c3b252b727a02cdc22043af0e3d
f7b10a8a66bd7de3bbbded96908f1b235a2b89f24f684ea9b0cf6cb1708272ff
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x418868
timedatestamp.....: 0x484424a6 (Mon Jun 02 16:49:42 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1b2b5 0x1c000 6.12 e708533ed378f3a60ad67b1629188580
.rdata 0x1d000 0x8652 0x9000 4.97 6d45b3369feaa34acdd8f0f352abc4a3
.data 0x26000 0x7478 0x5000 5.77 17943aa93211a336d2f2d239c880b732
.rsrc 0x2e000 0x5840 0x6000 3.37 0ea04674e9a8622d8f3b2a7e36e60e4d

( 10 imports )
> WININET.dll: InternetGetLastResponseInfoA, InternetOpenUrlA, InternetOpenA, InternetReadFile
> MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> MSVCRT.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, _XcptFilter, _exit, __1type_info@@UAE@XZ, _onexit, __dllonexit, _purecall, strlen, toupper, exit, strrchr, memset, _stricmp, _setmbcp, __CxxFrameHandler, _mbscmp, rand, _ftol, srand, time, atoi, memcpy, _CxxThrowException
> KERNEL32.dll: GetTickCount, GetCurrentThreadId, lstrlenA, Sleep, CreateFileA, GetProcAddress, LoadLibraryA, FreeLibrary, lstrcmpiA, CreateMutexA, GetSystemDirectoryA, lstrlenW, GetLastError, WaitForSingleObject, OpenProcess, SetLastError, WideCharToMultiByte, HeapFree, HeapAlloc, DeleteFileA, lstrcmpA, MoveFileA, GetFileAttributesA, GetModuleHandleA, GetStartupInfoA, TerminateProcess, GetVolumeInformationA, MultiByteToWideChar, GetFullPathNameA, LocalFree, lstrcpyA, GetModuleFileNameA, WriteFile, CloseHandle
> USER32.dll: OffsetRect, ClientToScreen, SetTimer, GetClientRect, GetWindowRect, SetForegroundWindow, AttachThreadInput, GetSystemMetrics, KillTimer, GetWindowThreadProcessId, PostMessageA, EnumWindows, GetWindowTextLengthA, GetWindowTextA, IsWindow, GetForegroundWindow, EnableWindow, SetWindowTextA
> GDI32.dll: CreateFontA
> ADVAPI32.dll: RegDeleteKeyA, RegQueryValueExA, RegCreateKeyExA, RegDeleteValueA, RegSetValueExA, RegCloseKey, RegOpenKeyExA
> SHELL32.dll: SHGetSpecialFolderLocation, SHGetPathFromIDListA
> ole32.dll: CoUninitialize, CoCreateInstance, OleRun
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -

( 0 exports )
Prevx info: 07220188.EXE - Prevx



C:\WINDOWS\system32\winpfz33.sys:



Datei winpfz33.sys empfangen 2008.06.03 17:48:05 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 46 und 66 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.30.1 2008.06.03 -
AntiVir 7.8.0.26 2008.06.03 -
Authentium 5.1.0.4 2008.06.02 -
Avast 4.8.1195.0 2008.06.03 -
AVG 7.5.0.516 2008.06.03 -
BitDefender 7.2 2008.06.03 -
CAT-QuickHeal 9.50 2008.06.03 -
ClamAV 0.92.1 2008.06.03 -
DrWeb 4.44.0.09170 2008.06.03 -
eSafe 7.0.15.0 2008.06.02 -
eTrust-Vet 31.4.5845 2008.06.03 -
Ewido 4.0 2008.06.03 -
F-Prot 4.4.4.56 2008.06.02 -
F-Secure 6.70.13260.0 2008.06.03 -
Fortinet 3.14.0.0 2008.06.03 -
GData 2.0.7306.1023 2008.06.03 -
Ikarus T3.1.1.26.0 2008.06.03 -
Kaspersky 7.0.0.125 2008.06.03 -
McAfee 5308 2008.06.02 -
Microsoft 1.3604 2008.06.03 -
NOD32v2 3155 2008.06.03 -
Norman 5.80.02 2008.06.03 -
Panda 9.0.0.4 2008.06.03 -
Prevx1 V2 2008.06.03 -
Rising 20.47.12.00 2008.06.03 -
Sophos 4.29.0 2008.06.03 -
Sunbelt 3.0.1143.1 2008.06.03 -
Symantec 10 2008.06.03 -
TheHacker 6.2.92.332 2008.06.03 -
VBA32 3.12.6.7 2008.06.03 -
VirusBuster 4.3.26:9 2008.06.03 -
Webwasher-Gateway 6.6.2 2008.06.03 -
weitere Informationen
File size: 860 bytes
MD5...: b60ba2f7748533ac88a8aabdd1b1b93f
SHA1..: 54101471562b20246334df9c2d1cbabb2df2da1a
SHA256: f01ae0e5e888a2b9f659f1182edd1045b477a359bfa217caccacbbd778b76f1b
SHA512: aa4efb9146803751767a3c15aa332b78905507546c4abeb52c68691b93ef88a0
49a28bc50e6cf11816d67ad857dd3d7bcd8f29cc20b67b03d0eda58840c2a5dc
PEiD..: -
PEInfo: -



Datei VCCLSID.exe empfangen 2008.06.03 17:50:40 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 2/32 (6.25%)


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.30.1 2008.06.03 -
AntiVir 7.8.0.26 2008.06.03 -
Authentium 5.1.0.4 2008.06.02 -
Avast 4.8.1195.0 2008.06.03 -
AVG 7.5.0.516 2008.06.03 -
BitDefender 7.2 2008.06.03 -
CAT-QuickHeal 9.50 2008.06.03 -
ClamAV 0.92.1 2008.06.03 -
DrWeb 4.44.0.09170 2008.06.03 -
eSafe 7.0.15.0 2008.06.02 Win32.Womble
eTrust-Vet 31.4.5845 2008.06.03 -
Ewido 4.0 2008.06.03 -
F-Prot 4.4.4.56 2008.06.02 -
F-Secure 6.70.13260.0 2008.06.03 -
Fortinet 3.14.0.0 2008.06.03 -
GData 2.0.7306.1023 2008.06.03 -
Ikarus T3.1.1.26.0 2008.06.03 -
Kaspersky 7.0.0.125 2008.06.03 -
McAfee 5308 2008.06.02 -
Microsoft 1.3604 2008.06.03 -
NOD32v2 3155 2008.06.03 -
Norman 5.80.02 2008.06.03 -
Panda 9.0.0.4 2008.06.03 Suspicious file
Prevx1 V2 2008.06.03 -
Rising 20.47.12.00 2008.06.03 -
Sophos 4.29.0 2008.06.03 -
Sunbelt 3.0.1143.1 2008.06.03 -
Symantec 10 2008.06.03 -
TheHacker 6.2.92.332 2008.06.03 -
VBA32 3.12.6.7 2008.06.03 -
VirusBuster 4.3.26:9 2008.06.03 -
Webwasher-Gateway 6.6.2 2008.06.03 -
weitere Informationen
File size: 289144 bytes
MD5...: d726e152e257a1ab819f88312ec69620
SHA1..: 5de83d9f463c2f18b3cf9755478c5a07d3f186e8
SHA256: cb77f0a6f0ecddc4f8737e26d2330e66c8d1b8e9bb0854522aeb03976e27730c
SHA512: 9a7ef38a105a30e1130f0032f719296863f3fc5c276c293d0ce0482350f4ebd9
172eb798a3a4a58e1cf14fbdf94b66efc6148435a8a7c4a880f6a0b982422465
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x450650
timedatestamp.....: 0x46df2c1e (Wed Sep 05 22:22:22 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x3d000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x3e000 0x13000 0x12800 7.91 ded91bb367b8c714f0f8808722f70d42
.rsrc 0x51000 0x1000 0x400 3.38 b1d489daf295a391f6fe0e6d6f8f4e45

( 4 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> ADVAPI32.DLL: RegCloseKey
> msvcrt.dll: _iob
> SHELL32.DLL: ShellExecuteA

( 0 exports )
packers (Kaspersky): UPX
packers (F-Prot): UPX

Alt 03.06.2008, 17:02   #11
amici
 
Werbepopups-HJT logfile - Standard

Werbepopups-HJT logfile



C:\WINDOWS\system32\g94.exe


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.30.1 2008.06.03 -
AntiVir 7.8.0.26 2008.06.03 DR/Agent.byy
Authentium 5.1.0.4 2008.06.02 -
Avast 4.8.1195.0 2008.06.03 Win32:Rootkit-gen
AVG 7.5.0.516 2008.06.03 -
BitDefender 7.2 2008.06.03 MemScan:Adware.Rotator.B
CAT-QuickHeal 9.50 2008.06.03 -
ClamAV 0.92.1 2008.06.03 Adware.Agent-2080
DrWeb 4.44.0.09170 2008.06.03 -
eSafe 7.0.15.0 2008.06.02 -
eTrust-Vet 31.4.5845 2008.06.03 -
Ewido 4.0 2008.06.03 -
F-Prot 4.4.4.56 2008.06.02 -
F-Secure 6.70.13260.0 2008.06.03 -
Fortinet 3.14.0.0 2008.06.03 Adware/Vapsup.0408
GData 2.0.7306.1023 2008.06.03 -
Ikarus T3.1.1.26.0 2008.06.03 -
Kaspersky 7.0.0.125 2008.06.03 not-a-virus:AdWare.Win32.Agent.byy
McAfee 5308 2008.06.02 -
Microsoft 1.3604 2008.06.03 -
NOD32v2 3155 2008.06.03 Win32/Adware.GooochiBiz
Norman 5.80.02 2008.06.03 -
Panda 9.0.0.4 2008.06.03 -
Prevx1 V2 2008.06.03 -
Rising 20.47.12.00 2008.06.03 AdWare.Win32.Rotator.a
Sophos 4.29.0 2008.06.03 Troj/BHODLL-H
Sunbelt 3.0.1143.1 2008.06.03 -
Symantec 10 2008.06.03 -
TheHacker 6.2.92.332 2008.06.03 -
VBA32 3.12.6.7 2008.06.03 AdWare.Win32.Agent.byy
VirusBuster 4.3.26:9 2008.06.03 -
Webwasher-Gateway 6.6.2 2008.06.03 Trojan.Dropper.Agent.byy
weitere Informationen
File size: 401972 bytes
MD5...: 976b8dd6f5ecba702d07dbe8e3958622
SHA1..: d58f173d497e715e26ce069c27f11715b63ea22d
SHA256: 28e5bb4d96d28139b3397f80dcfc08aa55b5985a09452d776f08ddcbf4fc17f9
SHA512: 592044df7a8b361ef0db7eb793d35d3da489c048bc64b85df1e7ac2a1f64adaa
b5aa2fedc1cf2daa718bc6da85ff12876886d42ee44fda9e545fefd8e2aa72fc
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x403225
timedatestamp.....: 0x47acc8b2 (Fri Feb 08 21:25:06 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5934 0x5a00 6.46 663546ac41801daf2dc51f560ec05a56
.rdata 0x7000 0x1190 0x1200 5.18 db16645055619c0cc73276ff5c3adb75
.data 0x9000 0x1af98 0x400 4.70 f0511f18783910813a0de0de02bc1206
.ndata 0x24000 0xc000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x30000 0x6c8 0x800 2.91 45197172dd9457c3c73ddd577483e4cd

( 8 imports )
> KERNEL32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, CreateFileA, GetFileSize, GetModuleFileNameA, GetCurrentProcess, CopyFileA, ExitProcess, SetFileTime, GetTempPathA, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetWindowsDirectoryA
> USER32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow
> GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject
> SHELL32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation
> ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA
> COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create
> ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA


C:\WINDOWS\system32\Process.exe -> prüfen, kann von SiRi sein



Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.30.1 2008.06.03 Win-AppCare/PrcViewer.53248
AntiVir 7.8.0.26 2008.06.03 -
Authentium 5.1.0.4 2008.06.02 -
Avast 4.8.1195.0 2008.06.03 -
AVG 7.5.0.516 2008.06.03 -
BitDefender 7.2 2008.06.03 -
CAT-QuickHeal 9.50 2008.06.02 -
ClamAV 0.92.1 2008.06.03 -
DrWeb 4.44.0.09170 2008.06.03 Tool.Prockill
eSafe 7.0.15.0 2008.06.02 -
eTrust-Vet 31.4.5845 2008.06.03 -
Ewido 4.0 2008.06.03 -
F-Prot 4.4.4.56 2008.06.02 -
F-Secure 6.70.13260.0 2008.06.03 -
Fortinet 3.14.0.0 2008.06.03 Misc/PrcViewer
GData 2.0.7306.1023 2008.06.03 -
Ikarus T3.1.1.26.0 2008.06.03 -
Kaspersky 7.0.0.125 2008.06.03 -
McAfee 5308 2008.06.02 potentially unwanted program PrcViewer
Microsoft 1.3604 2008.06.03 -
NOD32v2 3154 2008.06.03 Win32/PrcView
Norman 5.80.02 2008.06.02 -
Panda 9.0.0.4 2008.06.02 Application/Processor
Prevx1 V2 2008.06.03 -
Rising 20.47.12.00 2008.06.03 -
Sophos 4.29.0 2008.06.03 -
Sunbelt 3.0.1143.1 2008.06.03 -
Symantec 10 2008.06.03 -
TheHacker 6.2.92.332 2008.06.03 Aplicacion/Processor.20
VBA32 3.12.6.7 2008.06.03 -
VirusBuster 4.3.26:9 2008.06.02 -
Webwasher-Gateway 6.6.2 2008.06.03 -
weitere Informationen
File size: 53248 bytes
MD5...: 7397f6ee4a9601a123b645c0cd428017
SHA1..: 890368473ecbc404dcd42ff0c6c38397102f59c0
SHA256: 5aaf73ef89f0efab963abb170bc9b7cd7d4d5bd7a691cd83137b4cc39cd120de
SHA512: 8c9f85b64d8c1c43a11e654609d357fffdada311422cc02e5efbf1243b4d35fc
20f4a58b1a663f85717d8a626c3db8f59af62d7044ed02974cd3d2b107f08784
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x402b42
timedatestamp.....: 0x3edf2cf1 (Thu Jun 05 11:43:45 2003)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7bea 0x8000 6.52 c01fadec01aae81015745dad0ecda107
.rdata 0x9000 0x1dfc 0x2000 5.10 e5217bccc8786d801b7a78bb7cce029c
.data 0xb000 0x1fc8 0x1000 2.67 5ba738a705a45c4209cbffe7469d458a
.rsrc 0xd000 0x3c0 0x1000 0.99 0967ff97890b79a40016a44e82666655

( 3 imports )
> KERNEL32.dll: GetLastError, GetProcessAffinityMask, OpenProcess, Sleep, TerminateProcess, WaitForSingleObject, SetPriorityClass, lstrcmpiA, HeapFree, ResumeThread, SuspendThread, GetVersionExA, WideCharToMultiByte, HeapAlloc, CloseHandle, GlobalFree, GlobalAlloc, FileTimeToSystemTime, SystemTimeToFileTime, GetSystemTime, LocalFree, FormatMessageA, HeapSize, RtlUnwind, LCMapStringW, LCMapStringA, VirtualQuery, GetSystemInfo, SetProcessAffinityMask, LoadLibraryA, GetProcAddress, FreeLibrary, GetProcessHeap, GetCurrentProcess, ExitProcess, GetModuleHandleA, GetCommandLineA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, GetModuleFileNameA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, WriteFile, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, GetStringTypeA, MultiByteToWideChar, GetStringTypeW, GetACP, GetOEMCP, GetCPInfo, FlushFileBuffers, SetFilePointer, GetLocaleInfoA, VirtualProtect, SetStdHandle
> USER32.dll: CloseDesktop, EnumDesktopWindows, GetWindowThreadProcessId, PostMessageA, OpenDesktopA
> ADVAPI32.dll: LookupAccountSidA, OpenProcessToken, LookupPrivilegeValueA, AdjustTokenPrivileges, GetTokenInformation


C:\WINDOWS\system32\WS2Fix.exe -> prüfen, kann von Smithfraudfix sein:



Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - Win32.Womble
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - -
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - -
weitere Informationen
MD5: 49b5595b1824bea6d850e0ed08b53e43
SHA1: 5e2b90a2e34bb130b76517890877cb273f5f37b2
SHA256: 8d38a9bf06dbfa27be241d8d342e6d4116a5b70ac79fc67623616485967a0a02
SHA512: bfa8156a8a2c19c885412a92958102fc03cc3a7a20a56fb6baa41c76978258301848dc10af611caec1272970df4f7c853d18f9cd665dc041150a62427c9e15db

Alt 03.06.2008, 17:13   #12
amici
 
Werbepopups-HJT logfile - Standard

Werbepopups-HJT logfile



Die letzten 3:



C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll-uninst.exe



Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.30.1 2008.06.03 -
AntiVir 7.8.0.26 2008.06.03 -
Authentium 5.1.0.4 2008.06.02 -
Avast 4.8.1195.0 2008.06.03 -
AVG 7.5.0.516 2008.06.03 -
BitDefender 7.2 2008.06.03 -
CAT-QuickHeal 9.50 2008.06.02 -
ClamAV 0.92.1 2008.06.03 -
DrWeb 4.44.0.09170 2008.06.03 -
eSafe 7.0.15.0 2008.06.02 -
eTrust-Vet 31.4.5845 2008.06.03 -
Ewido 4.0 2008.06.03 -
F-Prot 4.4.4.56 2008.06.02 -
F-Secure 6.70.13260.0 2008.06.03 -
Fortinet 3.14.0.0 2008.06.03 Adware/Vapsup.0408
GData 2.0.7306.1023 2008.06.03 -
Ikarus T3.1.1.26.0 2008.06.03 Win32.SuspectCrc
Kaspersky 7.0.0.125 2008.06.03 -
McAfee 5308 2008.06.02 -
Microsoft 1.3604 2008.06.03 -
NOD32v2 3154 2008.06.03 -
Norman 5.80.02 2008.06.02 -
Panda 9.0.0.4 2008.06.03 -
Prevx1 V2 2008.06.03 Cloaked Malware
Rising 20.47.12.00 2008.06.03 -
Sophos 4.29.0 2008.06.03 -
Sunbelt 3.0.1143.1 2008.06.03 -
Symantec 10 2008.06.03 -
TheHacker 6.2.92.332 2008.06.03 -
VBA32 3.12.6.7 2008.06.03 -
VirusBuster 4.3.26:9 2008.06.02 -
Webwasher-Gateway 6.6.2 2008.06.03 -
weitere Informationen
File size: 63902 bytes
MD5...: 4e8fb6d6305b5c37a3e59629f3af5746
SHA1..: 8b62ac339182bf5d06c9baf4335abe64d9590eae
SHA256: 0446ddbeb530ba8c7f63f8de85b945e0b83299d7fa2ab708648ea1280dc5442c
SHA512: 84d4d6d14d5bba2396c1dfa27819f5481f63e2a215cd740b3aae652184f91b36
a01a9f61d16c27e86b5c1efe36d2dc709196db7be6c69c5d707c021d3697c8b9
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x403225
timedatestamp.....: 0x47acc8b2 (Fri Feb 08 21:25:06 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5934 0x5a00 6.46 663546ac41801daf2dc51f560ec05a56
.rdata 0x7000 0x1190 0x1200 5.18 db16645055619c0cc73276ff5c3adb75
.data 0x9000 0x1af98 0x400 4.70 f0511f18783910813a0de0de02bc1206
.ndata 0x24000 0xc000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x30000 0x6c8 0x800 2.76 7aa1e07300cf82d1881606e8a7e9d1c3

( 8 imports )
> KERNEL32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, CreateFileA, GetFileSize, GetModuleFileNameA, GetCurrentProcess, CopyFileA, ExitProcess, SetFileTime, GetTempPathA, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetWindowsDirectoryA
> USER32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow
> GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject
> SHELL32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation
> ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA
> COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create
> ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

( 0 exports )
Prevx info: {AF986DE3-588D-76C1-B366-87E88A841018}.DLL - Prevx



C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll

kann ich nicht finden.....???



C:\Programme\SchleppNetz\SchleppNetz.exe


versteckte Datei??? Kann ich beim hochladen nicht finden.....

Schleppnetz hab ich für das WG-Netzwerk gebraucht, da ich homeedition habe und nur begrenzte "Netzwerkecomputerplätze" hatte, und da auch noch ein Mac dabei war. Dachte, es wäre ein vertrauenswürdiges tool....Ist aber eigentlich deinstalliert...???

Alt 03.06.2008, 17:30   #13
amici
 
Werbepopups-HJT logfile - Standard

Werbepopups-HJT logfile



Hier der logfile von avenger:


Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open file "C:\WINDOWS\system32\VCCLSID.exe->prüfen!"
Deletion of file "C:\WINDOWS\system32\VCCLSID.exe->prüfen!" failed!
Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID)
--> an object cannot have this name


Error: could not open file "C:\WINDOWS\system32\g94.exe ->prüfen!"
Deletion of file "C:\WINDOWS\system32\g94.exe ->prüfen!" failed!
Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID)
--> an object cannot have this name


Error: could not open file "C:\WINDOWS\system32\Process.exe ->prüfen, ev. h**p://www.bleepingcomputer.com/startups/process.exe-7200.html"
Deletion of file "C:\WINDOWS\system32\Process.exe ->prüfen, ev. h**p://www.bleepingcomputer.com/startups/process.exe-7200.html" failed!
Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID)
--> an object cannot have this name


Error: could not open file "C:\WINDOWS\system32\WS2Fix.exe ->prüfen!"
Deletion of file "C:\WINDOWS\system32\WS2Fix.exe ->prüfen!" failed!
Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID)
--> an object cannot have this name

File "C:\WINDOWS\system32\gside.exe" deleted successfully.
File "C:\WINDOWS\system32\ncntpkdm.exe" deleted successfully.

Error: could not open file "C:\WINDOWS\system32\winpfz33.sys -> ev. Rootkit:h**p://www.prevx.com/filenames/821472523572207814-0/WINPFZ33.SYS.html"
Deletion of file "C:\WINDOWS\system32\winpfz33.sys -> ev. Rootkit:h**p://www.prevx.com/filenames/821472523572207814-0/WINPFZ33.SYS.html" failed!
Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID)
--> an object cannot have this name

File "C:\WINDOWS\mrofinu572.exe.tmp" deleted successfully.

Error: could not open file "C:\WINDOWS\mrofinu572.exe -> h**p://www.prevx.com/filenames/2960187510749633932-0/MROFINU572.EXE.html"
Deletion of file "C:\WINDOWS\mrofinu572.exe -> h**p://www.prevx.com/filenames/2960187510749633932-0/MROFINU572.EXE.html" failed!
Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID)
--> an object cannot have this name

File "C:\WINDOWS\mrofinu1000106.exe" deleted successfully.
File "C:\WINDOWS\QTFont.qfn" deleted successfully.
File "C:\WINDOWS\QTFont.for" deleted successfully.
File "C:\WINDOWS\system32\tmp.reg" deleted successfully.

Error: could not open file "C:\windows\system32\jownw64p.exe ->h**p://spywarefiles.prevx.com/RREJHI044624981/JOWNW64P.EXE.html"
Deletion of file "C:\windows\system32\jownw64p.exe ->h**p://spywarefiles.prevx.com/RREJHI044624981/JOWNW64P.EXE.html" failed!
Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID)
--> an object cannot have this name


Error: could not open file "C:\Programme\SchleppNetz\SchleppNetz.exe"
Deletion of file "C:\Programme\SchleppNetz\SchleppNetz.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

Folder "C:\WINDOWS\bXVuYQ" deleted successfully.
Folder "C:\WINDOWS\system32\yW3" deleted successfully.
Folder "C:\WINDOWS\system32\vntiho01" deleted successfully.
Folder "C:\WINDOWS\system32\hIP5" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|{91-16-6F-F0-DW}" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|{f2e70e87-e62a-84eb-4edf-08f9de8453fd}" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Alt 03.06.2008, 17:44   #14
amici
 
Werbepopups-HJT logfile - Standard

Werbepopups-HJT logfile



Hijackthis.fixen:

Folgende Einträge sind gefixt:

O2 - BHO: gooochi browser optimizer - {63b7168f-63ac-9dfa-b343-beef7a469006} - C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll (file missing)

O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\jownw64p.exe

Die anderen Beiden waren nach dem scan nicht mehr da.

Jetzt noch antimaleware und dann poste ich nochmal ein Hjt-log

Alt 03.06.2008, 18:24   #15
amici
 
Werbepopups-HJT logfile - Standard

Werbepopups-HJT logfile



Hier logfile von Malwarebytes antimalware:

Malwarebytes' Anti-Malware 1.14
Datenbank Version: 818

19:21:56 03.06.2008
mbam-log-6-3-2008 (19-21-56).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 116114
Scan Dauer: 32 minute(s), 42 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 19

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{1e404d48-670a-4085-a6a0-d195793ddd33} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{9f593aac-ca4c-4a41-a7ff-a00812192d61} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{749ec66f-a838-4b38-b8e5-e65d905fff74} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{1e404d48-670a-4085-a6a0-d195793ddd33} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\gooochi (Adware.Vapsup) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Mozilla\Firefox\Extensions\{59a40ac9-e67d-4155-b31d-4b7330fcd2d6} (Adware.PurityScan) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\mrofinu572.exe (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll-uninst.exe (Adware.Vapsup) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BitDefender\Desktop\Quarantine\jownw64p.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BitDefender\Desktop\Quarantine\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll (Adware.Vapsup) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{71A62C81-C28C-47FA-8428-F495081E3162}\RP585\A0102343.exe (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{71A62C81-C28C-47FA-8428-F495081E3162}\RP589\A0102851.exe (Adware.ClickSpring) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{71A62C81-C28C-47FA-8428-F495081E3162}\RP589\A0102853.dll (Adware.ClickSpring) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{71A62C81-C28C-47FA-8428-F495081E3162}\RP590\A0102864.exe (Rogue.AntiSpyMaster) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{71A62C81-C28C-47FA-8428-F495081E3162}\RP590\A0102874.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{71A62C81-C28C-47FA-8428-F495081E3162}\RP590\A0102875.exe (Trojan.LowZones) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{71A62C81-C28C-47FA-8428-F495081E3162}\RP590\A0102877.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{71A62C81-C28C-47FA-8428-F495081E3162}\RP590\A0102893.exe (Adware.PurityScan) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{71A62C81-C28C-47FA-8428-F495081E3162}\RP590\A0102955.exe (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Programme\AntiSpywareMaster\asm.exe.vir (Rogue.AntiSpyMaster) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\mlJCTLfd.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\nwbyosom.exe.vir (Trojan.LowZones) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\vtUnnoll.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winpfz33.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\zxdnt3d.cfg (Malware.Trace) -> Quarantined and deleted successfully.

Antwort

Themen zu Werbepopups-HJT logfile
.dll, abgesicherten modus, ad-aware, adobe, defender, desktop, dll, eingefroren, excel, explorer, firefox, helfen, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, launch, log-files, logfile, mozilla, mozilla firefox, problem, rundll, scan, senden, server, software, system, toolbars, virus, windows, windows xp




Ähnliche Themen: Werbepopups-HJT logfile


  1. Windows 8: Ständige Werbepopups
    Log-Analyse und Auswertung - 19.11.2015 (3)
  2. ständige werbepopups bei Firefox
    Plagegeister aller Art und deren Bekämpfung - 29.12.2012 (2)
  3. iexplore.exe, wavesound auf 0, Werbepopups
    Plagegeister aller Art und deren Bekämpfung - 13.07.2010 (3)
  4. Werbepopups
    Log-Analyse und Auswertung - 06.07.2010 (6)
  5. Werbepopups öffnen im IE von selbst
    Log-Analyse und Auswertung - 07.04.2010 (12)
  6. Probleme mit Tr. Dropper Gen und werbepopups
    Plagegeister aller Art und deren Bekämpfung - 19.03.2009 (25)
  7. Problem mit Antispyware Werbepopups
    Log-Analyse und Auswertung - 03.11.2008 (0)
  8. Nervige Werbepopups!
    Log-Analyse und Auswertung - 24.10.2008 (1)
  9. Ständig lästige Werbepopups
    Plagegeister aller Art und deren Bekämpfung - 14.10.2008 (5)
  10. IE-Werbepopups und Sounds
    Log-Analyse und Auswertung - 04.08.2008 (5)
  11. Werbepopups und Virenscanns auf internetseiten
    Plagegeister aller Art und deren Bekämpfung - 30.07.2008 (5)
  12. Lästige Werbepopups II
    Plagegeister aller Art und deren Bekämpfung - 19.03.2008 (5)
  13. Hilfe - Werbepopups?????
    Log-Analyse und Auswertung - 18.02.2008 (8)
  14. Werbepopups aus dem Nichts
    Log-Analyse und Auswertung - 12.09.2007 (9)
  15. ? W32.myzob.fk@yf ? und nervige Werbepopups
    Log-Analyse und Auswertung - 16.05.2006 (6)
  16. nervige Werbepopups
    Log-Analyse und Auswertung - 02.03.2006 (1)
  17. Werbepopups + IE-Lagg
    Log-Analyse und Auswertung - 12.02.2005 (1)

Zum Thema Werbepopups-HJT logfile - Habe mir vermutlich von einem weiterführenden Link der stern.xde - seite was geholt! Habe danach kasperski - online- scanner und bitdefender über den rechner laufen lassen. Konnte die log-files aber - Werbepopups-HJT logfile...
Archiv
Du betrachtest: Werbepopups-HJT logfile auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.