|
Log-Analyse und Auswertung: Werbe-Popups im iexplorer 7Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
23.06.2008, 17:08 | #1 |
| Werbe-Popups im iexplorer 7 Guten Tag, habe Windows XP mit SP3 (Finalversion) und Iexplorer 7. Ich bekomme während des Surfens alle paar Minuten ein Popup in einem neuen Browserfenster (dann ohne Symbolleisten) mit Werbung bzw. einer anderen Website (thematisch teilweise an meiner aktuellen Aktivität orientiert, z.B. Immobilienseiten während ich nach Wohnungen suche). Vielleicht kann mir jemand weiter helfen. Gruß, leinad-w Hier meine Logdatei: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:54:09, on 21.06.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\programme\lg usb drive2.9\lg usb.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Outlook Express\msimn.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\XXX\Eigene Dateien\downloads\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://intern.passul.t-online.de/cgi-bin/CP/00000000;/Themen/CPM/Browser/ie7-start.html?l=h**p://www.t-online.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://intern.passul.t-online.de/cgi-bin/CP/00000000;/Themen/CPM/Browser/ie7-start.html?l=h**p://www.t-online.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://intern.passul.t-online.de/cgi-bin/CP/00000000;/Themen/CPM/Browser/ie7-start.html?l=h**p://www.t-online.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von T-Online O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll O3 - Toolbar: Norton-Symbolleiste anzeigen - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [LG US] c:\programme\lg usb drive2.9\lg usb.exe sys_auto_run C:\Programme\LG USB Drive2.9 O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [] C:\Programme\Internet Explorer\iexplore.exe h**p://www.symantec.com/techsupp/servlet/ProductMessages?module=2007&error=0&language=de&product=SymNRT&version=2008.0.1.14&build=Symantec&a=00000082.00000002.00000002&b=00000082.0000001f.000 0004b&c=00000082.00000049.000000b9 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - h**p://acs.pandasoftware.com/activescan/cabs/as2stubie.cab O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - h**p://www.adobe.com/products/acrobat/nos/gp.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe -- End of file - 6766 bytes |
23.06.2008, 17:25 | #2 |
/// AVZ-Toolkit Guru | Werbe-Popups im iexplorer 7 Hallo leinad-w undDa dein HJT log sauber ist sollten wir etwas tiefer graben:
__________________
__________________ |
23.06.2008, 18:45 | #3 |
| Werbe-Popups im iexplorer 7 Hallo undoreal,
__________________vielen Dank für die schnelle Antwort. Bin grade bei Schritt drei, weiß allerdings nicht, wie ich bei blacklight eine Logdatei erstelle um diese zu posten. Es wurden vier hidden items gefunden: esswq.exe esswq_nav.dat esswq.dat esswq_navps.dat Ich kenne diese Dateien nicht. Soll ich sie umbenennen? Ansonsten fahr ich mal bei Schritt vier fort. Gruß, leinad-w |
23.06.2008, 19:03 | #4 |
| Werbe-Popups im iexplorer 7 Hallo, hab die Logdatei eben doch entdeckt (s.u.) Hab inzwischen Combofix laufen lassen, am Ende hieß es, es werde eine Logdatei vorbereitet, Programm hat dann geendet, hab keine Datei gefunden (?). 06/23/08 19:30:16 [Info]: BlackLight Engine 1.0.70 initialized 06/23/08 19:30:16 [Info]: OS: 5.1 build 2600 (Service Pack 3) 06/23/08 19:30:16 [Note]: 7019 4 06/23/08 19:30:16 [Note]: 7005 0 06/23/08 19:30:20 [Note]: 7006 0 06/23/08 19:30:20 [Note]: 7011 2032 06/23/08 19:30:20 [Note]: 7035 0 06/23/08 19:30:20 [Note]: 7026 0 06/23/08 19:30:20 [Note]: 7026 0 06/23/08 19:30:20 [Note]: 7024 3 06/23/08 19:30:20 [Info]: Hidden process: C:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\e 06/23/08 19:30:25 [Note]: FSRAW library version 1.7.1024 06/23/08 19:30:38 [Info]: Hidden file: c:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\essw 06/23/08 19:30:38 [Note]: 10002 1 06/23/08 19:30:38 [Info]: Hidden file: C:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\essw 06/23/08 19:30:38 [Note]: 10002 1 06/23/08 19:30:39 [Info]: Hidden file: c:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\essw 06/23/08 19:30:39 [Note]: 10002 1 06/23/08 19:30:39 [Info]: Hidden file: c:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\essw 06/23/08 19:30:39 [Note]: 10002 1 06/23/08 19:36:10 [Note]: 2000 1012 06/23/08 19:36:10 [Note]: 2000 1012 06/23/08 19:36:34 [Note]: 7007 0 |
23.06.2008, 19:11 | #5 | ||
/// AVZ-Toolkit Guru | Werbe-Popups im iexplorer 7 O.k. erstmal nicht weiter! Lasse die Dateien umbenennen! Danach: OPTION 1: #Analyse# Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
Hinweis: Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren. PS: Das CF log findest du unter: C:\ComboFix.txt PPS: Bei dem Blacklight log hast du die linke Seite abgeschnibbelt oder? Zitat:
Zitat:
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
23.06.2008, 19:24 | #6 |
| Werbe-Popups im iexplorer 7 Hallo undoreal, sorry, war wohl zu schnell! Hab Punkt 5 durchgeführt (Smitfraudfix, logfile s.u.), blacklight findet jetzt keine hidden items mehr. Ich hoffe, ich hab jetzt nicht alles versaut? Ich mach jetzt erst mal nichts mehr, wenn ich keine Anweisungen von Dir kriege ;-) leinad-w P.S.: Ein combofix-log finde ich keines auf c:\ (?). P.P.S.: Ja, bei dem blacklight-log fehlte was, die Dateien heißen wie angegeben. SmitFraudFix v2.328 Scan done at 20:10:06.50, 2008-06-23 Run from C:\Dokumente und Einstellungen\XXX\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» VACFix VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{80A1AC42-D31F-4A76-B047-79FF7BE450AF}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{80A1AC42-D31F-4A76-B047-79FF7BE450AF}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{80A1AC42-D31F-4A76-B047-79FF7BE450AF}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End |
23.06.2008, 19:35 | #7 |
/// AVZ-Toolkit Guru | Werbe-Popups im iexplorer 7 Hat Blacklight bzw. Du die Dateien nach dem ersten Durchlauf umbenannt? Unter C:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\ sollten sich die umbenannten Dateien finden lassen. Suche bitte wie in meiner Signatur beschrieben wird nach combofix. Dann sollte sich das log eigentlich finden lassen. Un führe Navipromo aus.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
23.06.2008, 19:51 | #8 |
| Werbe-Popups im iexplorer 7 Hallo undoreal, nein, habe die Dateien nicht umbenannt bzw. umbenennen lassen. Finde daher auch keine. Die Logdatei von Combofix hab ich jetzt aber, s.u. Ist Navipromo dasselbe wie unten vorgeschlagen (navilog1)? Der Link funktioniert nicht ... Entschuldige die Beanspruchung. Gruß, leinad-w ComboFix 08-06-20.4 - XXX 2008-06-23 19:48:21.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.160 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Eigene Dateien\downloads\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\esswq.dat C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\esswq.exe c:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\esswq_nav.dat c:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\esswq_navps.dat . ((((((((((((((((((((((( Dateien erstellt von 2008-05-23 bis 2008-06-23 )))))))))))))))))))))))))))))) . 2008-06-20 17:22 . 2008-06-20 17:26 <DIR> d-------- C:\WINDOWS\ServicePackFiles 2008-06-20 17:17 . 2006-12-29 00:31 19,569 --a------ C:\WINDOWS\002786_.tmp 2008-06-20 14:43 . 2008-06-14 19:32 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys 2008-06-20 14:42 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys 2008-06-19 20:15 . 2008-06-19 20:15 <DIR> d--hs---- C:\found.006 2008-06-13 14:45 . 2008-06-13 14:45 579,464 --a------ C:\WINDOWS\system32\SymNeti.dll 2008-06-13 14:45 . 2008-06-13 14:45 207,240 --a------ C:\WINDOWS\system32\SymRedir.dll 2008-06-13 14:14 . 2008-06-13 14:14 31,280 --a------ C:\WINDOWS\system32\drivers\SymIM.sys 2008-06-13 14:14 . 2008-06-13 14:14 13,093 --a------ C:\WINDOWS\system32\drivers\SymRedir.cat 2008-06-13 14:14 . 2008-06-13 14:14 1,611 --a------ C:\WINDOWS\system32\drivers\SymRedir.inf 2008-06-13 14:13 . 2008-06-13 14:13 184,240 --a------ C:\WINDOWS\system32\drivers\symtdi.sys 2008-06-13 14:13 . 2008-06-13 14:13 96,432 --a------ C:\WINDOWS\system32\drivers\symfw.sys 2008-06-13 14:13 . 2008-06-13 14:13 41,008 --a------ C:\WINDOWS\system32\drivers\symndisv.sys 2008-06-13 14:13 . 2008-06-13 14:13 38,576 --a------ C:\WINDOWS\system32\drivers\symids.sys 2008-06-13 14:13 . 2008-06-13 14:13 37,424 --a------ C:\WINDOWS\system32\drivers\symndis.sys 2008-06-13 14:13 . 2008-06-13 14:13 22,320 --a------ C:\WINDOWS\system32\drivers\symredrv.sys 2008-06-13 14:13 . 2008-06-13 14:13 13,616 --a------ C:\WINDOWS\system32\drivers\symdns.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-23 17:51 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared 2008-06-23 17:28 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-06-23 15:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec 2008-06-19 14:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-06-15 12:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink 2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-06-10 15:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help 2008-06-04 13:55 805 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.INF 2008-06-04 13:55 60,800 ----a-w C:\WINDOWS\system32\S32EVNT1.DLL 2008-06-04 13:55 123,952 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.SYS 2008-06-04 13:55 10,671 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.CAT 2008-06-04 13:55 --------- d-----w C:\Programme\Symantec 2008-05-14 15:56 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-05-14 15:43 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-05-14 15:23 --------- d-----w C:\Programme\Panda Security 2008-05-09 14:51 --------- d-----w C:\Programme\Finale NotePad 2007 2008-05-08 16:01 --------- d-----w C:\Programme\Advanced GIF Animator 2008-05-08 14:02 203,136 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys 2008-05-07 14:29 --------- d-----w C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\OpenOffice.org2 2008-05-07 14:28 --------- d-----w C:\Programme\OpenOffice.org 2.2 2008-05-07 05:10 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll 2008-05-05 15:29 --------- d-----w C:\Programme\Windows Media Connect 2 2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-04-19 12:55 103,776 ----a-w C:\Dokumente und Einstellungen\XXX\System_Restore.exe 2008-04-19 12:53 357,768 ----a-w C:\Dokumente und Einstellungen\XXX\SymXPep2.dll 2008-04-19 12:53 251,216 ----a-w C:\Dokumente und Einstellungen\XXX\IView.exe 2008-04-14 06:06 1,804 ----a-w C:\WINDOWS\system32\dcache.bin 2008-04-14 05:55 333,312 ----a-w C:\WINDOWS\system32\netsetup.exe 2008-04-14 05:52 99,840 ----a-w C:\WINDOWS\system32\loadperf.dll 2008-04-14 05:51 762,368 ----a-w C:\WINDOWS\system32\winntbbu.dll 2008-04-14 05:51 731,648 ----a-w C:\WINDOWS\system32\ntdll.dll 2008-04-14 05:51 57,375 ----a-w C:\WINDOWS\system32\odbcji32.dll 2008-04-14 05:51 5,632 ----a-w C:\WINDOWS\system32\wmi.dll 2008-04-14 05:51 4,126 ----a-w C:\WINDOWS\system32\msdxmlc.dll 2008-04-14 05:30 2,191,360 ----a-w C:\WINDOWS\system32\ntoskrnl.exe 2008-04-14 05:30 2,068,224 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe 2008-04-14 05:29 4,096 ----a-w C:\WINDOWS\system32\dsprpres.dll 2008-04-14 05:27 93,184 ------w C:\WINDOWS\system32\msxml6r.dll 2008-04-14 05:26 81,408 ------w C:\WINDOWS\system32\msshavmsg.dll 2008-04-14 05:26 51,712 ----a-w C:\WINDOWS\system32\inetres.dll 2008-04-14 05:25 572,928 ----a-w C:\WINDOWS\system32\shdoclc.dll 2008-04-14 05:24 10,752 ----a-w C:\WINDOWS\system32\gpkrsrc.dll 2008-04-14 05:23 1,845,760 ----a-w C:\WINDOWS\system32\win32k.sys 2008-04-14 05:22 68,096 ----a-w C:\WINDOWS\system32\browselc.dll 2008-04-14 05:20 103,424 ----a-w C:\WINDOWS\system32\dpcdll.dll 2008-04-13 22:15 17,664 ----a-w C:\WINDOWS\system32\watchdog.sys 2008-04-13 22:10 438,784 ----a-w C:\WINDOWS\system32\xpob2res.dll 2008-04-13 22:06 2,981,888 ----a-w C:\WINDOWS\system32\xpsp2res.dll 2008-04-13 22:05 24,064 ----a-w C:\WINDOWS\system32\pidgen.dll 2008-04-13 22:05 199,680 ----a-w C:\WINDOWS\system32\xpsp1res.dll 2008-04-13 22:01 7,424 ----a-w C:\WINDOWS\system32\kd1394.dll 2008-04-13 22:00 61,440 ----a-w C:\WINDOWS\system32\msvcrt40.dll 2008-04-13 21:07 208,384 ----a-w C:\WINDOWS\system32\rsaenh.dll 2008-04-13 21:07 138,752 ----a-w C:\WINDOWS\system32\dssenh.dll 2008-04-13 20:56 12,288 ----a-w C:\WINDOWS\system32\odbcp32r.dll 2008-04-13 20:56 12,288 ----a-w C:\WINDOWS\system32\mscpx32r.dll 2008-04-13 20:51 733,696 ----a-w C:\WINDOWS\system32\qedwipes.dll 2008-04-13 20:18 1,647,616 ----a-w C:\WINDOWS\system32\winbrand.dll 2008-04-13 20:15 216,064 ----a-w C:\WINDOWS\system32\moricons.dll 2008-04-13 19:53 48,128 ----a-w C:\WINDOWS\system32\msprivs.dll 2008-04-13 19:09 884,736 ----a-w C:\WINDOWS\system32\msimsg.dll 2008-03-17 12:19 34,328 ----a-w C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2008-02-21 17:11 104 ----a-w C:\Programme\Sony Ericsson Datei-Manager.lnk 2007-08-22 10:22 146 ----a-w C:\Dokumente und Einstellungen\XXX\CONFIG.DAT . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}] 2007-08-25 05:51 316784 --a------ C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D53EC84-6AAE-4787-AEEE-F4628F01010C}] 2008-02-17 19:26 116088 --a------ C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 07:52 15360] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "<NO NAME>"="C:\Programme\Internet Explorer\iexplore.exe" [2008-04-22 09:40 625664] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-07-12 16:50 4112384] "SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 18:15 106496] "RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 19:42 32768] "nwiz"="nwiz.exe" [2004-07-12 16:50 843776 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-07-12 16:50 81920] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648] "LG US"="c:\programme\lg usb drive2.9\lg usb.exe" [2005-02-21 04:53 356446] "Cmaudio"="cmicnfg.cpl,CMICtrlWnd" [] "ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2008-02-14 12:01 51048] "osCheck"="C:\Programme\Norton Internet Security\osCheck.exe" [2007-08-25 06:53 714608] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792] "PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-09-19 16:02 406016] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 07:52 15360] "ALUAlert"="C:\Programme\Symantec\LiveUpdate\ALUNotify.exe" [2007-08-23 22:35 152952] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoMSAppLogo5ChannelNotify"= 0 (0x0) "NoBandCustomize"= 0 (0x0) [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Notification Packages REG_MULTI_SZ scecli scecli scecli scecli [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] --a------ 2008-04-14 07:52 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spyware Assassin v.4.0] C:\Programme\Spyware Assassin 4.0\Spyware Assassin.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= R2 LiveUpdate Notice;LiveUpdate Notice;"C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon [] S3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-03-06 22:32] S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\dsltestSp5.sys [2007-09-12 18:24] S3 idrmkl;idrmkl;C:\DOKUME~1\XXX\LOKALE~1\Temp\idrmkl.sys [] S3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [] S3 USTOR;LG USB Drive;C:\WINDOWS\system32\DRIVERS\UStork.sys [2004-11-09 05:46] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] tapisrv REG_MULTI_SZ Tapisrv *Newly Created Service* - COMHOST . Inhalt des "geplante Tasks" Ordners "2008-06-02 18:00:00 C:\WINDOWS\Tasks\Norton Internet Security Online - Systemprüfung ausführen - XXX.job" Geändert von leinad-w (23.06.2008 um 19:56 Uhr) |
23.06.2008, 20:01 | #9 |
/// AVZ-Toolkit Guru | Werbe-Popups im iexplorer 7 Hab' ich mir schon fast gedacht. CF hat die Dateien gelöscht. Auch gut. Sry. für den inakzeptablen Link: http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
23.06.2008, 20:14 | #10 |
| Werbe-Popups im iexplorer 7 Hallo nochmals, unten die Logdatei von Navilog. Hab übrigens die letzte Stunde keine Popups mehr gekriegt ... :-) Gruß, leinad-w Search Navipromo version 3.5.8 began on 2008-06-23 at 21:05:31.04 !!! Warning, this report may include legitimate files/programs !!! !!! Post this report on the forum you are being helped !!! !!! Don't continue with removal unless instructed by an authorized helper !!! Fix running from C:\Programme\navilog1 Actual User Account : "XXX" Updated on 06.06.2008 at 18h00 by IL-MAFIOSO Microsoft Windows XP [Version 5.1.2600] Version Internet Explorer : 7.0.5730.13 Filesystem type : NTFS Search done in normal mode *** Search folders in "C:\WINDOWS" *** *** Search folders in "C:\Programme" *** *** Search folders in "c:\dokume~1\alluse~1\anwend~1" *** *** Search folders in "c:\dokume~1\alluse~1\startm~1\progra~1" *** *** Search folders in "C:\Dokumente und Einstellungen\XXX\anwend~1" *** *** Search folders in "C:\DOKUME~1\SYSBUI~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\XXX\lokale~1\anwend~1" *** *** Search folders in "C:\DOKUME~1\SYSBUI~1\lokale~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\XXX\startm~1\progra~1" *** *** Search folders in "C:\DOKUME~1\SYSBUI~1\startm~1\progra~1" *** *** Search with Catchme-rootkit/stealth malware detector by gmer *** for more info : h**p://www.gmer.net No file found *** Search with GenericNaviSearch *** !!! Possibility of legitimate files in the result !!! !!! Must always be checked before manually deleting !!! * Scan in "C:\WINDOWS\system32" * * Scan in "C:\Dokumente und Einstellungen\XXX\lokale~1\anwend~1" * * Scan in "C:\DOKUME~1\SYSBUI~1\lokale~1\anwend~1" * *** Search files *** *** Search specific Registry keys *** *** Complementary Search *** (Search specific files) 1)Search new Instant Access files : 2)Heuristic Search : * In "C:\WINDOWS\system32" : * In "C:\Dokumente und Einstellungen\XXX\lokale~1\anwend~1" : * In "C:\DOKUME~1\SYSBUI~1\lokale~1\anwend~1" : 3)Certificates Search : Egroup certificate not found ! Electronic-Group certificate found ! OOO-Favorit certificate found ! Sunny-Day-Design-Ltd certificate not found ! 4)Search known files : *** Search completed on 2008-06-23 at 21:11:27.96 *** |
23.06.2008, 20:43 | #11 |
/// AVZ-Toolkit Guru | Werbe-Popups im iexplorer 7 Das sieht doch schonmal ganz gut aus. Da bei dir ein Rootkit lief solltest du nun bitte die restlichen Punkte 6)-12) abarbeiten.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
24.06.2008, 18:44 | #12 |
| Werbe-Popups im iexplorer 7 Hallo, bin jetzt dabei, die Punkte 6 - 12 abzuarbeiten. SASW: Befund negativ Malwarebytes ergab eine infizierte Datei, Logdatei s. hier: Ich fahre jetzt bei Punkt 8 fort. Gruß, leinad-w Malwarebytes' Anti-Malware 1.18 Datenbank Version: 886 18:45:08 2008-06-24 mbam-log-6-24-2008 (18-45-08).txt Scan Art: Komplett Scan (C:\|D:\|) Objekte gescannt: 83900 Scan Dauer: 29 minute(s), 8 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine Malware Objekte gefunden) Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\AUTOEXEC.BAT (Trojan.Agent) -> Quarantined and deleted successfully. |
24.06.2008, 20:18 | #13 |
| Werbe-Popups im iexplorer 7 Hallo undoreal, Eset war negativ, cCleaner durchgeführt, unten die Logdatei von Silentrunners. Ich hab bei mir auf c:\ einige Ordner entdeckt (found.000 bis found.006), großteils unbekannter Inhalt, teilweise aber mit Dateien, die aus dem Ordner "Eigene Dateien" stammen. Kann das vom großen Reinemachen kommen? Ich mach jetzt bei den Punkten weiter. Gruß, leinad-w "Silent Runners.vbs", revision 58, h**p://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "SUPERAntiSpyware" = "C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" ["SUPERAntiSpyware.com"] HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++} "(Default)" = "C:\Programme\Internet Explorer\iexplore.exe http://www.symantec.com/techsupp/servlet/ProductMessages?module=2007&error=0&language=de&product=SymNRT&version=2008.0.1.14&build=Symantec&a=00000082.00000002.00000002&b=00000082.0000001f.000 0004b&c=00000082.00000049.000000b9" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "SiSUSBRG" = "C:\WINDOWS\SiSUSBrg.exe" ["Silicon Integrated Systems Corp."] "RemoteControl" = "C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "LG US" = "c:\programme\lg usb drive2.9\lg usb.exe sys_auto_run C:\Programme\LG USB Drive2.9" [" "] "Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS] "ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"] "osCheck" = ""C:\Programme\Norton Internet Security\osCheck.exe"" ["Symantec Corporation"] "Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"] "PinnacleDriverCheck" = "C:\WINDOWS\system32\PSDrvCheck.exe" [empty string] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}\(Default) = "NCO 2.0 IE BHO" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll" ["Symantec Corporation"] {6D53EC84-6AAE-4787-AEEE-F4628F01010C}\(Default) = "Symantec Intrusion Prevention" -> {HKLM...CLSID} = "Symantec Intrusion Prevention" \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll" ["Symantec Corporation"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{E8D43C7E-EFA1-41A2-9AD9-0CFECD1678B7}" = "SafeErase" -> {HKCU...CLSID} = "SafeEraseObj Class" \InProcServer32\(Default) = "C:\Programme\OO Software\SafeErase\oosesh.dll" ["O&O Software GmbH"] "{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C}" = "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" -> {HKLM...CLSID} = "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\ONFILTER.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\msohevi.dll" [MS] "{993BE281-6695-4BA5-8A2A-7AACBFAAB69E}" = "Microsoft Office Metadata Handler" -> {HKLM...CLSID} = "Microsoft Office Metadata Handler" \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS] "{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97}" = "Microsoft Office Thumbnail Handler" -> {HKLM...CLSID} = "Microsoft Office Thumbnail Handler" \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ <<!>> "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}" = (no title provided) -> {HKLM...CLSID} = "SABShellExecuteHook Class" \InProcServer32\(Default) = "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" ["SuperAdBlocker.com"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ "WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}" -> {HKLM...CLSID} = "WPDShServiceObj Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS] HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\ <<!>> ("" [file not found]) "SecurityProviders" = "msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll," HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> !SASWinLogon\DLLName = "C:\Programme\SUPERAntiSpyware\SASWINLO.dll" ["SUPERAntiSpyware.com"] <<!>> dimsntfy\DLLName = "C:\WINDOWS\System32\dimsntfy.dll" [MS] HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\ <<!>> text/xml\CLSID = "{807563E5-5146-11D5-A672-00B0D022E945}" -> {HKLM...CLSID} = "Microsoft Office InfoPath XML Mime Filter" \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL" [MS] HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}" -> {HKLM...CLSID} = "IEContextMenu Class" \InProcServer32\(Default) = "C:\PROGRA~1\NORTON~1\NORTON~1\NavShExt.dll" ["Symantec Corporation"] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}" -> {HKLM...CLSID} = "MBAMShlExt Class" \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes"] Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}" -> {HKLM...CLSID} = "IEContextMenu Class" \InProcServer32\(Default) = "C:\PROGRA~1\NORTON~1\NORTON~1\NavShExt.dll" ["Symantec Corporation"] HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\ MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}" -> {HKLM...CLSID} = "MBAMShlExt Class" \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes"] Default executables: -------------------- HKLM\SOFTWARE\Classes\.scr\(Default) = "scrfile" <<!>> HKLM\SOFTWARE\Classes\scrfile\shell\open\command\(Default) = ""%1" %*" [file not found] Group Policies {policy setting}: -------------------------------- Note: detected settings may not have any effect. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "NoMSAppLogo5ChannelNotify" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "NoBandCustomize" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "NoDrives" = (REG_DWORD) dword:0x00000000 {unrecognized setting} HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "HideLegacyLogonScripts" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "HideLogoffScripts" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "RunLogonScriptSync" = (REG_DWORD) dword:0x00000001 {unrecognized setting} "RunStartupScriptSync" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "HideStartupScripts" = (REG_DWORD) dword:0x00000000 {unrecognized setting} HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\ "DisableRIED" = (REG_DWORD) dword:0x00000000 {Do not allow resetting Internet Explorer settings} HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Infodelivery\Restrictions\ "NoJITSetup" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "NoUpdateCheck" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "NoSplash" = (REG_DWORD) dword:0x00000000 {unrecognized setting} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Devices: Allow undock without having to log on} "HideLegacyLogonScripts" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "HideLogoffScripts" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "RunLogonScriptSync" = (REG_DWORD) dword:0x00000001 {unrecognized setting} "RunStartupScriptSync" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "HideStartupScripts" = (REG_DWORD) dword:0x00000000 {unrecognized setting} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Windows Portable Device AutoPlay Handlers ----------------------------------------- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\ NeroAutoPlayAudioCD\ "Provider" = "Nero StartSmart" "InvokeProgID" = "Nero.AutoPlay" "InvokeVerb" = "AudioCD" HKLM\SOFTWARE\Classes\Nero.AutoPlay\shell\AudioCD\command\(Default) = ""C:\Programme\Ahead\nero startsmart\nerostartsmart.exe" /Drive:%L" ["Ahead Software AG"] NeroAutoPlayEmptyCD\ "Provider" = "Nero StartSmart" "InvokeProgID" = "Nero.AutoPlay" "InvokeVerb" = "EmptyCD" HKLM\SOFTWARE\Classes\Nero.AutoPlay\shell\EmptyCD\command\(Default) = ""C:\Programme\Ahead\nero startsmart\nerostartsmart.exe" /Drive:%L" ["Ahead Software AG"] NeroAutoPlayMusicCD\ "Provider" = "Nero StartSmart" "InvokeProgID" = "Nero.AutoPlay" "InvokeVerb" = "MusicCD" HKLM\SOFTWARE\Classes\Nero.AutoPlay\shell\MusicCD\command\(Default) = ""C:\Programme\Ahead\nero startsmart\nerostartsmart.exe" /Drive:%L" ["Ahead Software AG"] NeroAutoPlayVideoDVD\ "Provider" = "Nero StartSmart" "InvokeProgID" = "Nero.AutoPlay" "InvokeVerb" = "VideoDVD" HKLM\SOFTWARE\Classes\Nero.AutoPlay\shell\VideoDVD\command\(Default) = ""C:\Programme\Ahead\nero startsmart\nerostartsmart.exe" /Drive:%L" ["Ahead Software AG"] PDVDPlayDVDMovieOnArrival\ "Provider" = "PowerDVD" "InvokeProgID" = "DVD" "InvokeVerb" = "PlayWithPowerDVD" HKLM\SOFTWARE\Classes\DVD\shell\PlayWithPowerDVD\Command\(Default) = ""C:\Programme\CyberLink\PowerDVD\PowerDVD.exe" "%L"" ["CyberLink Corp."] Enabled Scheduled Tasks: ------------------------ "Norton Internet Security Online - Systemprüfung ausführen - XXX" -> launches: "C:\Programme\Norton Internet Security\Norton AntiVirus\Navw32.exe /TASK:"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec Corporation"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS] Transport Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 33 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}" -> {HKLM...CLSID} = "Norton-Symbolleiste anzeigen" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll" ["Symantec Corporation"] HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ "{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}" = "NCO Toolbar 2.0" -> {HKLM...CLSID} = "Norton-Symbolleiste anzeigen" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll" ["Symantec Corporation"] Explorer Bars HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\ HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL" [MS] Extensions (Tools menu items, main toolbar menu buttons) HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\ {E2E2DD38-D088-4134-82B7-F2BA38496583}\ "MenuText" = "@xpsp3res.dll,-20001" "Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Automatisches LiveUpdate - Scheduler, Automatic LiveUpdate Scheduler, "C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe" ["Symantec Corporation"] IPv6-Hilfsdienst, 6to4, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\6to4svc.dll" [MS]} LiveUpdate Notice, LiveUpdate Notice, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon" ["Symantec Corporation"] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] Symantec Core LC, Symantec Core LC, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe"" ["Symantec Corporation"] Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon" ["Symantec Corporation"] Symantec Lic NetConnect service, CLTNetCnService, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon" ["Symantec Corporation"] Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon" ["Symantec Corporation"] Print Monitors: --------------- HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\ hpzlnt04\Driver = "hpzlnt04.dll" [file not found] Send To Microsoft OneNote Monitor\Driver = "msonpmon.dll" [MS] ---------- (launch time: 2008-06-24 21:11:13) <<!>>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 68 seconds, including 23 seconds for message boxes) |
24.06.2008, 21:15 | #14 |
/// AVZ-Toolkit Guru | Werbe-Popups im iexplorer 7 Das sieht ja soweit alles schon ganz gut aus. Die found... Ordner werden von scandisk erstellt. Sollten also nicht von unserer Bereinigung stammen. Wenn du die Dateien dort drinn nicht mehr brauchst kannst du sie problemlos löschen.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
25.06.2008, 14:48 | #15 |
| Werbe-Popups im iexplorer 7 Hallo undoreal und andere, hab jetzt doch ein Problem: Schreibe von einem anderen PC, denn mein Windows fährt nicht mehr hoch. Es fehlten Systemdateien bzw. diese waren beschädigt. Hab versucht, XP über die Original-CD zu reparieren - schien auch erst zu klappen, jetzt verlangt er allerdings nach einer Datei ("asms") von der Service Pack 2-CD, die ich natürlich nicht hab, und hängt sich gleichzeitig auf (bzw. Maus und Tastatur sind nicht zu benutzen). Wenn keiner einen Tip hat, wie ich das Problem löse, muss ich ja wohl Windows neu installieren. Frage: Gehen dabei die installierten Programme und meine Eigenen Dateien verloren? Hab zwar ein backup der wichtigsten Sachen, hab aber eigentlich keine Lust, alles neu zu installieren. Gruß, leinad-w |
Themen zu Werbe-Popups im iexplorer 7 |
adobe, bho, einstellungen, error, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, internet security, intrusion prevention, microsoft, nvidia, object, outlook express, pdf, popup, programme, rundll, security, seiten, software, suche, symantec, system, unknown file in winsock lsp, usb, werbung, windows, windows internet, windows internet explorer, windows xp, windows xp sp3, xp sp3 |