|
Log-Analyse und Auswertung: Viren Werbung im IE--> Bitte um Hilfe des HiJackThis LogeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
27.06.2008, 08:12 | #1 |
| Viren Werbung im IE--> Bitte um Hilfe des HiJackThis Loge Hallo, ich hoffe ihr könnt mir helfen Denn seit einiger Zeit komme ich nicht mehr auf alle Internet Seiten und es öffnet sich Werbung, Teils normale, teils welche wo ich aufgefordert werde einen Virenscanner zu Installieren. Diese Fenster kommen auch, wenn ich den Internet Explorer schon einige Minuten geschlossen habe. Ich sollte anmerken, dass ich mit einem Bekannten schon sämtliche Viren von meinem PC gelöscht habe, denn Viren versäucht war ich auch Hier nun also mein HiJackThis Log Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 08:40:43, on 27.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\WINDOWS\system32\bgsvcgen.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe C:\Programme\avmwlanstick\wlangui.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe C:\Programme\Softwin\BitDefender10\bdagent.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender10\vsserv.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.web.de/home R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.gmx.net/de/?status=login R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht**tp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe" O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [146b1df4] rundll32.exe "C:\WINDOWS\system32\fchdwgyw.dll",b O4 - HKLM\..\Run: [BM17582e68] Rundll32.exe "C:\WINDOWS\system32\acmjexrx.dll",s O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**tp://groups.msn.com/controls/PhotoUC/MsnPUpld.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1196957286750 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - ht**tp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1197100059562 O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://static.ak.schuelervz.net/photouploader/ImageUploader4.cab?nocache=20071128-1 O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - h**p://photoservice.fujicolor.de/ips-opdata/layout/fuji01/activex/IPSUploader4.cab O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - h**p://static.ak.schuelervz.net/photouploader/ImageUploader5.cab?nocache=20080115-1 O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - h**tp://gamenextde.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} - h**p://3dlifeplayer.dl.3dvia.com/player/install/installer.exe O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - ht**p://www.shockwave.com/content/peggle/sis/popcaploader_v10_en.cab O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - h**p://www.flatcast.info/objects/NpFv415.dll O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F554} (Flatcast Viewer 4.16) - h**p://www.flatcast.info/objects/NpFv41629.dll O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - h**p://www.gutchat.de/control/msnchat45.cab O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe -- End of file - 7962 bytes Maichen |
27.06.2008, 08:37 | #2 | |
| Viren Werbung im IE--> Bitte um Hilfe des HiJackThis LogeZitat:
Diese beiden Dateien bitte bei virustotal.com hochladen und prüfen lassen. Anschliessend den vollständigen Scanreport inklsuive sämtlicher Angaben wie Größe, Hash etc hier posten: Code:
ATTFilter C:\WINDOWS\system32\fchdwgyw.dll C:\WINDOWS\system32\acmjexrx.dll %ComSpec%
__________________ |
27.06.2008, 08:58 | #3 |
| Viren Werbung im IE--> Bitte um Hilfe des HiJackThis Loge Naja aber ich war schon geschockt, als ich Bitdefender durch laufen ließ, was da so alles kam. Wobei ich Antivir regelmäßig hatte durchlaufen lassen und der mir nie was angezeit hat.
__________________Unsichtbare Datein müssten aufgedeckt sein Hoffe ich mach das jetzt richtig C:\WINDOWS\system32\fchdwgyw.dll Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.6.26.0 2008.06.26 - AntiVir 7.8.0.59 2008.06.27 TR/Vundo.Gen Authentium 5.1.0.4 2008.06.27 W32/Virtumonde.N.gen!Eldorado Avast 4.8.1195.0 2008.06.26 - AVG 7.5.0.516 2008.06.26 - BitDefender 7.2 2008.06.27 - CAT-QuickHeal 9.50 2008.06.26 - ClamAV 0.93.1 2008.06.27 - DrWeb 4.44.0.09170 2008.06.27 - eSafe 7.0.17.0 2008.06.26 Suspicious File eTrust-Vet 31.6.5910 2008.06.27 - Ewido 4.0 2008.06.26 - F-Prot 4.4.4.56 2008.06.27 W32/Virtumonde.N.gen!Eldorado F-Secure 7.60.13501.0 2008.06.26 - Fortinet 3.14.0.0 2008.06.27 - GData 2.0.7306.1023 2008.06.27 - Ikarus T3.1.1.26.0 2008.06.27 Trojan.Vundo Kaspersky 7.0.0.125 2008.06.27 - McAfee 5326 2008.06.26 - Microsoft 1.3704 2008.06.27 - NOD32v2 3222 2008.06.26 - Norman 5.80.02 2008.06.26 - Panda 9.0.0.4 2008.06.26 Suspicious file Prevx1 V2 2008.06.27 Fraudulent Security Program Rising 20.50.41.00 2008.06.27 - Sophos 4.30.0 2008.06.27 - Sunbelt 3.0.1176.1 2008.06.26 - Symantec 10 2008.06.27 - TheHacker 6.2.96.362 2008.06.27 - TrendMicro 8.700.0.1004 2008.06.27 - VBA32 3.12.6.8 2008.06.27 - VirusBuster 4.5.11.0 2008.06.23 - Webwasher-Gateway 6.6.2 2008.06.27 Trojan.Vundo.Gen weitere Informationen File size: 84944 bytes MD5...: acb3c4c003e59257b6987773ac79fdf8 SHA1..: e97989a1e55760da1c910d533cfbca28153861f6 SHA256: f1f068af44acff38aac2bafb53588e20b7cb77d54b394679ef24740c5d10994f SHA512: 303e9847d7f10b23d6e8063ef7a258cff2fe971b8e760522f9a71009828c9807 a2022f0a40fb52a97c207ef23c52aabc976a85c50ab75a212ccd95e032e76688 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x100261af timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x15000 0xbe00 8.00 0534b15f04e42a28547ef397850d4b52 .rdata 0x16000 0xa000 0x5000 7.99 bb33e120a0421abc74dd62c336e648c9 .data 0x20000 0x3000 0x200 7.61 b83edc14df312ae7a98425431a7fb3e7 .rsrc 0x23000 0x1000 0x200 7.57 1e07bea209d2fc644193fc089c439940 .reloc 0x24000 0x2000 0x1400 7.96 c460b68e8ed11b6f317c47652af0f90a dfd 0x26000 0x2000 0x15d0 5.79 c85a26f6d7889bdd1c0f5c6cacca5e14 ( 2 imports ) > KERNEL32.dll: GetProcAddress, VirtualFree, VirtualAlloc, LoadLibraryA > USER32.dll: GetDesktopWindow, EndPaint, BeginPaint, DispatchMessageA, TranslateMessage, DialogBoxParamA ( 0 exports ) Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.6.26.0 2008.06.26 - AntiVir 7.8.0.59 2008.06.27 TR/Vundo.Gen Authentium 5.1.0.4 2008.06.27 W32/Virtumonde.N.gen!Eldorado Avast 4.8.1195.0 2008.06.26 - AVG 7.5.0.516 2008.06.26 - BitDefender 7.2 2008.06.27 - CAT-QuickHeal 9.50 2008.06.26 - ClamAV 0.93.1 2008.06.27 - DrWeb 4.44.0.09170 2008.06.27 - eSafe 7.0.17.0 2008.06.26 Suspicious File eTrust-Vet 31.6.5910 2008.06.27 - Ewido 4.0 2008.06.26 - F-Prot 4.4.4.56 2008.06.27 W32/Virtumonde.N.gen!Eldorado F-Secure 7.60.13501.0 2008.06.26 - Fortinet 3.14.0.0 2008.06.27 - GData 2.0.7306.1023 2008.06.27 - Ikarus T3.1.1.26.0 2008.06.27 Trojan.Vundo Kaspersky 7.0.0.125 2008.06.27 - McAfee 5326 2008.06.26 - Microsoft 1.3704 2008.06.27 - NOD32v2 3222 2008.06.26 - Norman 5.80.02 2008.06.26 - Panda 9.0.0.4 2008.06.26 Suspicious file Prevx1 V2 2008.06.27 Fraudulent Security Program Rising 20.50.41.00 2008.06.27 - Sophos 4.30.0 2008.06.27 - Sunbelt 3.0.1176.1 2008.06.26 - Symantec 10 2008.06.27 - TheHacker 6.2.96.362 2008.06.27 - TrendMicro 8.700.0.1004 2008.06.27 - VBA32 3.12.6.8 2008.06.27 - VirusBuster 4.5.11.0 2008.06.23 - Webwasher-Gateway 6.6.2 2008.06.27 Trojan.Vundo.Gen weitere Informationen File size: 84944 bytes MD5...: acb3c4c003e59257b6987773ac79fdf8 SHA1..: e97989a1e55760da1c910d533cfbca28153861f6 SHA256: f1f068af44acff38aac2bafb53588e20b7cb77d54b394679ef24740c5d10994f SHA512: 303e9847d7f10b23d6e8063ef7a258cff2fe971b8e760522f9a71009828c9807 a2022f0a40fb52a97c207ef23c52aabc976a85c50ab75a212ccd95e032e76688 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x100261af timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x15000 0xbe00 8.00 0534b15f04e42a28547ef397850d4b52 .rdata 0x16000 0xa000 0x5000 7.99 bb33e120a0421abc74dd62c336e648c9 .data 0x20000 0x3000 0x200 7.61 b83edc14df312ae7a98425431a7fb3e7 .rsrc 0x23000 0x1000 0x200 7.57 1e07bea209d2fc644193fc089c439940 .reloc 0x24000 0x2000 0x1400 7.96 c460b68e8ed11b6f317c47652af0f90a dfd 0x26000 0x2000 0x15d0 5.79 c85a26f6d7889bdd1c0f5c6cacca5e14 ( 2 imports ) > KERNEL32.dll: GetProcAddress, VirtualFree, VirtualAlloc, LoadLibraryA > USER32.dll: GetDesktopWindow, EndPaint, BeginPaint, DispatchMessageA, TranslateMessage, DialogBoxParamA ( 0 exports ) |
27.06.2008, 09:42 | #4 |
| Viren Werbung im IE--> Bitte um Hilfe des HiJackThis Loge Vundo/Virtumonde, ein Klassiker, aber leider habe ich das solange nicht mehr gemacht, dass ich das Lieber einem der anderen Helfer überlassen möchte. Ansonsten laufe ich Gefahr, Dir und mir viel Arbeit zu machen und die Sache ist am Ende doch nicht richtig gemacht. %ComSpec%
__________________ When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one. |
27.06.2008, 09:55 | #5 |
> MalwareDB | Viren Werbung im IE--> Bitte um Hilfe des HiJackThis Loge 1. Malwarebytes Bitte lasse zuerst Malwarebytes wie beschrieben laufen. 2. Filelist Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp Credits to Karl83 / KarlKarl Ist die Datei zu groß, lade sie bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den Link. 3. Erstellung eines neuen HijackThis Logs. Erstelle bitte ein neues HijackThis File und editiere es wie beschrieben vor dem Posten.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
27.06.2008, 12:13 | #6 |
| Viren Werbung im IE--> Bitte um Hilfe des HiJackThis Loge So nun hab ich es endlich geschafft. Das eine wirkt wie eine mamut Datei also bitte nicht wundern 1.File-Upload.net - mbam-log-6-27-2008--12-39-12-.txt 2.File-Upload.net - filelist27.txt 3.File-Upload.net - hijackthis2.txt |
27.06.2008, 16:38 | #7 | |
> MalwareDB | Viren Werbung im IE--> Bitte um Hilfe des HiJackThis Loge Gehe wiefolgt vor 1. Mit HijackThis Einträge fixen und Dateien löschen Bitte öffne Deine HijackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind. O2 - BHO: (no name) - {5B63AA4D-BB46-4EE1-95CC-0FB3548E8475} - (no file) O2 - BHO: {f89bd4cf-559c-1d5a-2744-9341ff1b683b} - {b386b1ff-1439-4472-a5d1-c955fc4db98f} - C:\WINDOWS\system32\xobjnyfe.dll (file missing)dann Klicke Fix Checked. Schließe HiJackThis. Reboot im abgesicherten Modus. Stelle Deinen Rechner wie hier beschrieben ein. Benutze den Windows Explorer (um dahin zu kommen, mache einen Rechtsklick auf dem Start Button und klicke auf "Explorer"), bitte lösche diese Dateien (wenn vorhanden): C:\WINDOWS\system32\ebluimvr.ini C:\WINDOWS\system32\bdss.log C:\WINDOWS\system32\bdod.bin C:\WINDOWS\system32\vEhOYcdd.ini C:\WINDOWS\system32\fchdwgyw.dll C:\WINDOWS\system32\acmjexrx.dll C:\WINDOWS\system32\ddcYOhEv.dll C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\eoayhuwa.ini C:\WINDOWS\system32\xobjnyfe.dll C:\WINDOWS\system32\ppadgbyu.dll C:\WINDOWS\system32\pbwskvmd.ini C:\WINDOWS\system32\stfasamf.dll C:\WINDOWS\system32\rqcylggq.dll C:\WINDOWS\system32\nonxgril.dll C:\WINDOWS\system32\fqskmkal.ini C:\WINDOWS\system32\cljybuhw.dll C:\WINDOWS\system32\fbjnvqeo.dll C:\WINDOWS\system32\qnutahvf.ini C:\WINDOWS\system32\lkUutBeg.ini C:\WINDOWS\system32\ldgaurlx.dll C:\WINDOWS\system32\lkUutBeg.ini2 C:\WINDOWS\system32\iqddrakx.dll C:\WINDOWS\system32\qwlrlbjf.dll C:\WINDOWS\system32\hgyqntph.ini C:\WINDOWS\system32\lewjjgvc.ini C:\WINDOWS\system32\posfounl.ini C:\WINDOWS\system32\nmplcykg.ini C:\WINDOWS\system32\mhxnidxs.ini C:\WINDOWS\Kyor.ini C:\WINDOWS\pskt.ini C:\WINDOWS\BM17582e68.xml C:\WINDOWS\_delis32.ini C:\WINDOWS\BM17582e68.txt Dann starte den Rechner neu. 2. Dateien bei virustotal prüfen lassen Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
ATF - The Cleaner - Lade ATF - The Cleaner - Doppelklicke die ATF-CLeaner.exe um das Programm zu starten - Unter Main, wähle alle - Klicke den Empty selected Button - Wenn Du Firefox benutzt, klicke den Firefox Button und wähle alle - Drücke den Empty Selected Button Wichtig. Wenn Du Deine Passwörter behalten willst, sage nein bei dem Prompt - Wenn Du Opera benutzt, klicke Opera und wähle alle - Drücke den Empty Selected Button Wichtig. Wenn Du Deine Passwörter behalten willst, sage nein bei dem Prompt - Klicke Exit im Main Menü um das Programm zu schließen 4. Den ADS prüfen ADS In HijackThis nutzen
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall Geändert von BataAlexander (27.06.2008 um 16:50 Uhr) |
27.06.2008, 17:49 | #8 |
| Viren Werbung im IE--> Bitte um Hilfe des HiJackThis Loge Wow, danke schon mal bei 1. habe ich alles gelöscht 2. sieht bei mir so aus C:\TEST.XML Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 - - - AntiVir - - - Authentium - - - Avast - - - AVG - - - BitDefender - - - CAT-QuickHeal - - - ClamAV - - - DrWeb - - - eSafe - - - eTrust-Vet - - - Ewido - - - F-Prot - - - F-Secure - - - FileAdvisor - - - Fortinet - - - Ikarus - - - Kaspersky - - - McAfee - - - Microsoft - - - NOD32v2 - - - Norman - - - Panda - - - Prevx1 - - - Rising - - - Sophos - - - Sunbelt - - - Symantec - - - TheHacker - - - VBA32 - - - VirusBuster - - - Webwasher-Gateway - - BlockReason.0 weitere Informationen MD5: 0a9c8d85bfa9b31d1bd3907524c3fd7f SHA1: 5c2e8d61fd39fd138f283ace88e8c7fe44205f1b SHA256: f46a6494dc2a99e400048b672684db6c88c4aa6ccfcdb5ee05dbda284f8e6d55 SHA512: 064d3ae4e13a8295a2e865ad86f1bf2cf8f5bd40e0caa9e89c8d45d1514ba50b3d35728b79bbeb4233e186a1a67cd0e8410364eafe98747f8af1f8e429bd7ded Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.6.27.1 2008.06.27 - AntiVir 7.8.0.59 2008.06.27 - Authentium 5.1.0.4 2008.06.27 - Avast 4.8.1195.0 2008.06.26 - AVG 7.5.0.516 2008.06.27 - BitDefender 7.2 2008.06.27 - CAT-QuickHeal 9.50 2008.06.26 - ClamAV 0.93.1 2008.06.27 - DrWeb 4.44.0.09170 2008.06.27 - eSafe 7.0.17.0 2008.06.26 - eTrust-Vet 31.6.5911 2008.06.27 - Ewido 4.0 2008.06.27 - F-Prot 4.4.4.56 2008.06.27 - F-Secure 7.60.13501.0 2008.06.26 - Fortinet 3.14.0.0 2008.06.27 - GData 2.0.7306.1023 2008.06.27 - Ikarus T3.1.1.26.0 2008.06.27 - Kaspersky 7.0.0.125 2008.06.27 - McAfee 5327 2008.06.27 - Microsoft 1.3704 2008.06.27 - NOD32v2 3224 2008.06.27 - Norman 5.80.02 2008.06.26 - Panda 9.0.0.4 2008.06.26 - Prevx1 V2 2008.06.27 - Rising 20.50.42.00 2008.06.27 - Sophos 4.30.0 2008.06.27 - Sunbelt 3.0.1176.1 2008.06.26 - Symantec 10 2008.06.27 - TheHacker 6.2.96.362 2008.06.27 - TrendMicro 8.700.0.1004 2008.06.27 - VBA32 3.12.6.8 2008.06.27 - VirusBuster 4.5.11.0 2008.06.23 - Webwasher-Gateway 6.6.2 2008.06.27 - weitere Informationen File size: 262144 bytes MD5...: ac7bd8195aef068f855076af057e44a9 SHA1..: 7390885f0f8e819aaaab7af0d04be4ea936b1bf1 SHA256: b3662aa7c32fb99a73b903f3993737d7ed19c0798e5feb4995281db7e2dd1d6b SHA512: 5066961a4654a6e320b446b48b094f38169fb865896cefd618572179579caf0e f43f8098daadf6f20d775632ec3ee55378496d70af9ca8ba91db24f95e8f342f PEiD..: InstallShield 2000 PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x41c330 timedatestamp.....: 0x3638e561 (Thu Oct 29 22:00:01 1998) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1f315 0x1f400 6.24 fd4f4cbddcd33f76b523739b629cc3b3 .rdata 0x21000 0x1c0c 0x1e00 5.39 01668df29e4d91578a2309cc44649fc8 .data 0x23000 0x4a7c 0x3800 2.51 8383ed0cfd9809552c7023805b5c9170 .rsrc 0x28000 0x2c000 0x2b600 5.38 b4f02f26b8622aa2101dcdced784f30a ( 7 imports ) > KERNEL32.dll: DosDateTimeToFileTime, GetPrivateProfileStringA, GetCurrentProcess, LocalFileTimeToFileTime, SetFileTime, MoveFileExA, SetFilePointer, WriteFile, MoveFileA, GetFileAttributesA, lstrcmpA, SetEndOfFile, lstrcpynA, GetLocalTime, SetCurrentDirectoryA, GetDriveTypeA, GetDiskFreeSpaceA, CreateDirectoryA, GetLastError, GetCurrentThread, GetCurrentDirectoryA, GlobalReAlloc, FileTimeToLocalFileTime, GetFileTime, FileTimeToDosDateTime, GetPrivateProfileSectionA, SetFileAttributesA, DeleteFileA, FindNextFileA, FindClose, WinExec, Sleep, GetModuleFileNameA, GetSystemDefaultLCID, MulDiv, GetWindowsDirectoryA, GetTickCount, lstrcatA, lstrcmpiA, lstrlenA, lstrcpyA, CreateFileA, GetFileSize, GlobalAlloc, CloseHandle, GlobalLock, ReadFile, GlobalUnlock, GetModuleHandleA, GetSystemInfo, FindResourceA, LoadResource, SizeofResource, FreeResource, LockResource, OpenFile, _hwrite, _lclose, GetVersion, IsDBCSLeadByte, GetSystemDirectoryA, WriteProfileSectionA, WritePrivateProfileSectionA, WritePrivateProfileStringA, GlobalCompact, WriteProfileStringA, GetFileType, LCMapStringA, GetProfileSectionA, GlobalHandle, SetErrorMode, GlobalFree, LoadLibraryA, GetProcAddress, FreeLibrary, FindFirstFileA, RemoveDirectoryA, RtlUnwind, GetStdHandle, SetHandleCount, GetOEMCP, GetACP, GetCPInfo, WideCharToMultiByte, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, MultiByteToWideChar, FreeEnvironmentStringsA, UnhandledExceptionFilter, TerminateProcess, VirtualAlloc, VirtualFree, HeapCreate, HeapDestroy, GetSystemTime, GetTimeZoneInformation, ExitProcess, GetCommandLineA, GetStartupInfoA, HeapFree, HeapAlloc, LCMapStringW, GetStringTypeA, GetStringTypeW, CompareStringA, CompareStringW, SetEnvironmentVariableA, HeapReAlloc > USER32.dll: SetDlgItemTextA, LoadStringA, MessageBoxA, EndDialog, DialogBoxParamA, wsprintfA, PeekMessageA, SendDlgItemMessageA, BeginPaint, EndPaint, DefWindowProcA, LoadCursorA, GetClassInfoA, OemToCharA, KillTimer, PostQuitMessage, RegisterClassA, GetSysColor, IsDialogMessageA, CharLowerA, CreateWindowExA, EnableWindow, GetWindow, GetClassNameA, CharUpperA, GetWindowTextA, GetDlgItem, SendMessageA, PostMessageA, SetWindowTextA, GetSystemMetrics, SetWindowPos, ShowWindow, UpdateWindow, SetFocus, IsWindow, RegisterWindowMessageA, GetDC, ReleaseDC, ScreenToClient, SetTimer, LoadIconA, DestroyWindow, LoadBitmapA, CreateDialogParamA, InvalidateRect, IsWindowVisible, CharNextA, InflateRect, CharPrevA, CharToOemA, DdeGetData, DdeFreeDataHandle, DdeConnect, DdeClientTransaction, DdeGetLastError, DdeDisconnect, DdeFreeStringHandle, DdeUninitialize, DdeInitializeA, DdeCreateStringHandleA, ExitWindowsEx, FindWindowA, GetClientRect, FillRect, SetRect, SetRectEmpty, GetWindowLongA, GetWindowRect, DispatchMessageA, TranslateMessage, MessageBeep > GDI32.dll: CreateDIBitmap, SelectPalette, GetDeviceCaps, CreatePalette, GetSystemPaletteEntries, LineTo, MoveToEx, DeleteObject, CreatePen, CreateFontIndirectA, GetObjectA, DeleteDC, BitBlt, CreateCompatibleDC, RestoreDC, Rectangle, GetStockObject, CreateSolidBrush, IntersectClipRect, SaveDC, CreateCompatibleBitmap, SetBkColor, CreateBitmap, SetPixel, GetTextExtentPointA, SelectObject, RealizePalette > comdlg32.dll: GetOpenFileNameA, GetSaveFileNameA > ADVAPI32.dll: AllocateAndInitializeSid, RegCloseKey, RegConnectRegistryA, AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, CloseServiceHandle, OpenSCManagerA, FreeSid, RegCreateKeyExA, SetSecurityDescriptorOwner, InitializeSecurityDescriptor, RegOpenKeyA, RegDeleteKeyA, RegEnumKeyA, RegSetValueExA, RegQueryValueExA, RegDeleteValueA, RegEnumValueA, EqualSid, GetTokenInformation, OpenThreadToken > SHELL32.dll: SHGetSpecialFolderLocation, SHGetPathFromIDListA > VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA ( 0 exports ) 4. Sieht bei mir so aus Code:
ATTFilter C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP : DFC5A2B2 (104 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E) C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP : F59BA980 (131 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E) C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP : DFC5A2B2 (104 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E) C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP : F59BA980 (131 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E) C:\Dokumente und Einstellungen\rechner : zylomtest (0 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E) C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG1-7LLS-22TDACKJ0VSS} (16 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E) C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG2-V08M-26E8LC4K2VVR} (17 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E) C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG3-8AT4-258NF6K78VST} (16 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E) C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG5-BPAV-24QJBB1JIVUV} (17 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E) C:\Dokumente und Einstellungen\rechner : zylomtest (0 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E) C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG1-7LLS-22TDACKJ0VSS} (16 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E) C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG2-V08M-26E8LC4K2VVR} (17 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E) C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG3-8AT4-258NF6K78VST} (16 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E) C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG5-BPAV-24QJBB1JIVUV} (17 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E) |
29.06.2008, 13:48 | #9 |
> MalwareDB | Viren Werbung im IE--> Bitte um Hilfe des HiJackThis Loge Sorry hat was gedauert, mir gehts grad etwas xx'*#^o. Ich werde nicht ganz aus dem ADS Scan schlau, und würde Dich bitten GMER laufen zu lassen. GMER - Rootkit Detection * Lade GMER von hier * entpacke es auf den Dektop * Dopperlklicke die gmer.exe * Der Reiter Rootkit oben ist schon angewählt * Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern * nach Beendigung des Scan, drücke "Copy" * nun kannst Du das Ergebnis hier posten * Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden. * Wenn das Log zu lang fürs Forum ist, lade es hier hoch und poste den Link
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
29.06.2008, 16:13 | #10 |
| Viren Werbung im IE--> Bitte um Hilfe des HiJackThis Loge |
29.06.2008, 23:08 | #11 | |
| Viren Werbung im IE--> Bitte um Hilfe des HiJackThis LogeZitat:
%ComSpec%
__________________ When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one. |
30.06.2008, 07:08 | #12 | |
> MalwareDB | Viren Werbung im IE--> Bitte um Hilfe des HiJackThis LogeZitat:
Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
Hinweis: Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
Themen zu Viren Werbung im IE--> Bitte um Hilfe des HiJackThis Loge |
bitte um hilfe, defender, desktop, dll, excel, explorer, helfen, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, internet, internet explorer, nvidia, object, rundll, scan, seiten, server, software, stick, system, tuneup.defrag, viren, virus, werbung, windows, windows xp, öffnet |