Hilfe: habe auch ständige Popups mit Werbung

derkleinehob · 23.06.2008, 12:38

Hallo,habe auch ständige Popus mit Werbung, mein Hijack File angehangen,

bitte helft mir..... Danke

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA

[/edit]

-SilverDragon- · 23.06.2008, 16:04

Hallo und

Lasse bitte folgende Datei bei Virustotal überprüfen:

Code:

ATTFilter

C:\Windows\system32\ddcYsqpn.dll

Die Ergebnisse danach bitte KOMPLETT ins Forum posten.

Desweiteren lasse Malwarebytes scannen, da auch den Report posten.

derkleinehob · 23.06.2008, 16:13

Ergebniss von VirusTotal:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.22.0 2008.06.23 -
AntiVir 7.8.0.59 2008.06.23 ADSPY/Bamodi.B
Authentium 5.1.0.4 2008.06.21 -
Avast 4.8.1195.0 2008.06.23 -
AVG 7.5.0.516 2008.06.23 -
BitDefender 7.2 2008.06.23 -
CAT-QuickHeal 9.50 2008.06.23 -
ClamAV 0.93.1 2008.06.23 -
DrWeb 4.44.0.09170 2008.06.23 Trojan.Virtumod.based.16
eSafe 7.0.15.0 2008.06.23 -
eTrust-Vet 31.6.5897 2008.06.23 -
Ewido 4.0 2008.06.23 -
F-Prot 4.4.4.56 2008.06.21 -
F-Secure 7.60.13501.0 2008.06.20 -
Fortinet 3.14.0.0 2008.06.23 -
GData 2.0.7306.1023 2008.06.23 -
Ikarus T3.1.1.26.0 2008.06.23 -
Kaspersky 7.0.0.125 2008.06.23 -
McAfee 5322 2008.06.20 -
Microsoft 1.3604 2008.06.23 -
NOD32v2 3209 2008.06.23 -
Norman 5.80.02 2008.06.23 -
Panda 9.0.0.4 2008.06.22 -
Prevx1 V2 2008.06.23 -
Rising 20.50.02.00 2008.06.23 Trojan.Win32.Monder.a
Sophos 4.30.0 2008.06.23 -
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.23 -
TheHacker 6.2.92.358 2008.06.21 -
TrendMicro 8.700.0.1004 2008.06.23 -
VBA32 3.12.6.8 2008.06.23 -
VirusBuster 4.5.11.0 2008.06.23 -
weitere Informationen
File size: 322560 bytes
MD5...: 3232b4efec09e712cc711cd57c7dfaa9
SHA1..: e25893d88774308710c3161eb040d315e7e57883
SHA256: 3a6eeaf2aae2637acbbca6293b0e45328218ff79f64c36bdff59b27a7ae8db9b
SHA512: 78aa4c1f0b5b9c951bd3bc9c19f4c54bbff02a3d12bc30aecc17c22f39bf95d5
9128597c642bd201d78f7eaea040d4bced5b7707dfccffc03b7e0e26f19ea682
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1009d92d
timedatestamp.....: 0x485b9df7 (Fri Jun 20 12:09:27 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.data 0x1000 0x9c000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.text 0x9d000 0x11e3 0x1200 6.10 6fab91e5cb173c4924dd1d37c2c017b0
.rdata 0x9f000 0x4d000 0x4cc00 8.00 894fd93ddf36a2655def2b56b78a1833
.idata 0xec000 0x1000 0x600 3.68 3b9ab22940d90cf9d17417cc038686ec
.reloc 0xed000 0x1000 0x400 6.44 6c50f81836dbbbe8461a65d935c8c1f1

( 4 imports )
> kernel32.dll: CreateMutexW, LocalCompact, GlobalFree, GetNumberFormatA, SetWaitableTimer, GetEnvironmentStringsW, GetLastError, LocalHandle, SignalObjectAndWait
> comctl32.dll: CreateStatusWindow, ImageList_SetBkColor, FlatSB_EnableScrollBar, MakeDragList, ImageList_BeginDrag, CreateUpDownControl, ImageList_Duplicate, CreateMappedBitmap, ImageList_Destroy, ImageList_EndDrag
> user32.dll: GetWindowTextA, CharUpperA, EndDialog, GetCursor, IsWindowEnabled, MsgWaitForMultipleObjects, AppendMenuA, ShowWindow
> shell32.dll: StrRChrW, StrNCmpIW, StrCmpNIA, StrRStrA, StrRChrIA, StrStrA, CommandLineToArgvW, StrRStrIW, SHGetPathFromIDList, SHChangeNotify, Shell_NotifyIcon, StrChrIA, StrRStrIA, StrRChrIW

( 0 exports )

-SilverDragon- · 23.06.2008, 17:13

Lade dir das Tool Avenger und kopiere folgenden Text in die weiße Textbox:

Code:

ATTFilter

Files to delete: 
C:\Windows\system32\ddcYsqpn.dll

Danach klicke auf Execute und der Script fängt an zu arbeiten.

Danach bitte ein neues Logfile von HJT posten und den Log vom Avenger.

derkleinehob · 23.06.2008, 17:42

Zu erst mal das )Malwarebytes( Logfile, echt erschreckend....

Malwarebytes' Anti-Malware 1.18
Datenbank Version: 882

18:31:17 23.06.2008
mbam-log-6-23-2008 (18-31-08).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|G:\|I:\|J:\|)
Objekte gescannt: 239708
Scan Dauer: 1 hour(s), 9 minute(s), 24 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 1
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 29

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\Windows\System32\ddcYsqpn.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ce4100de-3735-4d4c-9d18-76c1ccd5012f} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ce4100de-3735-4d4c-9d18-76c1ccd5012f} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{487c9905-26a8-42c8-8033-c58ad3d2aec3} (Trojan.Vundo) -> No action taken.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\ddcysqpn -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\ddcysqpn -> No action taken.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Windows\System32\ddcYsqpn.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\npqsYcdd.ini (Trojan.Vundo) -> No action taken.
C:\Windows\System32\npqsYcdd.ini2 (Trojan.Vundo) -> No action taken.
C:\Windows\System32\jyvfhuwn.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\nwuhfvyj.ini (Trojan.Vundo) -> No action taken.
C:\Windows\System32\nbsqmmit.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\timmqsbn.ini (Trojan.Vundo) -> No action taken.
C:\Windows\System32\saelbduy.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\yudbleas.ini (Trojan.Vundo) -> No action taken.
C:\Windows\System32\vdegmqgk.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\kgqmgedv.ini (Trojan.Vundo) -> No action taken.
C:\Windows\System32\yjplrdqk.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\kqdrlpjy.ini (Trojan.Vundo) -> No action taken.
C:\Program Files\Trend Micro\HijackThis\backups\backup-20080622-183731-347.dll (Trojan.Vundo) -> No action taken.
C:\Program Files\Trend Micro\HijackThis\backups\backup-20080622-183731-796.dll (Trojan.FakeAlert) -> No action taken.
C:\Program Files\Trend Micro\HijackThis\backups\backup-20080623-134943-409.dll (Trojan.Vundo) -> No action taken.
C:\Users\Holger\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7ZQ4Y4GT\kb456456[1] (Trojan.Vundo) -> No action taken.
C:\Users\Holger\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\N2UPRYXY\kb456456[1] (Trojan.Vundo) -> No action taken.
C:\Users\Holger\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TNRTSDJL\css4[1] (Trojan.Vundo) -> No action taken.
C:\Users\Holger\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WY6VKD8Q\css4[1] (Trojan.Vundo) -> No action taken.
C:\Users\Holger\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZDWK8JW5\kb456456[1] (Trojan.Vundo) -> No action taken.
C:\Users\Holger\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZDWK8JW5\kb456456[2] (Trojan.Vundo) -> No action taken.
C:\Windows\System32\efcbXPgh.dll (Trojan.FakeAlert) -> No action taken.
C:\Windows\System32\urqRIcyY.dll (Trojan.FakeAlert) -> No action taken.
F:\tuneupexe\CORE10k.EXE (Trojan.Agent) -> No action taken.
J:\System Volume Information\_restore{06AF6CB8-0A03-4FBE-8B4B-465EF1192143}\RP163\A0063006.EXE (Trojan.Agent) -> No action taken.
J:\System Volume Information\_restore{06AF6CB8-0A03-4FBE-8B4B-465EF1192143}\RP163\A0063010.exe (Spyware.OnlineGames) -> No action taken.
J:\System Volume Information\_restore{63346062-4594-4A7F-B0CD-D3049AFBDA6E}\RP811\A0082391.exe (Spyware.OnlineGames) -> No action taken.
C:\Windows\System32\clkcnt.txt (Trojan.Vundo) -> No action taken.

derkleinehob · 23.06.2008, 17:46

Und hier das HijackLogfile nach dem ich Avenger ausgeführt habe:

Logfile of Trend Micro )HijackThis( v2.0.2
Scan saved at 18:39:58, on 23.06.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\conime.exe
C:\Program Files\Logitech\Gaming Software\LWEMon.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = url=http://go.microsoft.com/fwlink/?LinkId=54896]Live Search[/url
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = url=http://www.google.de/]Google[/url
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = url=http://go.microsoft.com/fwlink/?LinkId=69157]MSN.com[/url
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = url=http://go.microsoft.com/fwlink/?LinkId=54896]Live Search[/url
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = url=http://go.microsoft.com/fwlink/?LinkId=54896]Live Search[/url
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = url=http://go.microsoft.com/fwlink/?LinkId=69157]MSN.com[/url
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Program Files\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: RF - Formular ausfüllen - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - url]http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab[/url
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: SpyHunter3 Service - Enigma Software Group, Inc. - C:\Program Files\Enigma Software Group\SpyHunter\SHService.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

--
End of file - 7289 bytes

-SilverDragon- · 23.06.2008, 18:19

Lasse das gefundene von Malwarebytes löschen.
Hast du noch Probleme/Popups?

derkleinehob · 23.06.2008, 18:48

Also seit ich das File mit dem Avenger gelöscht hab ist kein Popup mehr aufgetaucht,

Vielen vielen Dank :-)

werd jetzt noch die Sachen die )Malware( beanstandet hat löschen

Hilfe: habe auch ständige Popups mit Werbung

Plagegeister aller Art und deren Bekämpfung: Hilfe: habe auch ständige Popups mit Werbung