| |
| |||||||
Log-Analyse und Auswertung: Werbung nervt, Vieren?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
09.07.2008, 12:54
| #1 |
 |  Werbung nervt, Vieren? Hallo. Bei mir öffnet sich immer Werbung in IE ohne das ich etwas gemacht habe und die AntivirenProgramme finden nichts. Laut der Anleitung habe ich das Hijack Programm runtergeladen und gescant. Hier das Ergebnis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:35:28, on 09.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Anvshell.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe C:\Programme\Trust\MI-2500X OPTICAL MOUSE\Mouse32a.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\WINDOWS\system32\Rundll32.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Trust\MI-2500X OPTICAL MOUSE\Mouse32a.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [BMcfb7123f] Rundll32.exe "C:\WINDOWS\system32\jslkails.dll",s O4 - HKLM\..\RunOnce: [SpybotDeletingA1710] command /c del "C:\Programme\Gemeinsame Dateien\Yazzle1281OinUninstaller.exe" O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [SpybotDeletingB2915] command /c del "C:\Programme\Gemeinsame Dateien\Yazzle1281OinUninstaller.exe" O4 - HKCU\..\RunOnce: [SpybotDeletingD8975] cmd /c del "C:\Programme\Gemeinsame Dateien\Yazzle1281OinUninstaller.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {4DBB4CC1-9B1D-4CA5-9C41-613FC61EA1E6} (bildpartner_de_upload Control) - h**p://w*w.bildpartner.de/upload/bildpartner_de_upload.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1198249410750 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://w*w.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198249531203 O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://static.ak.studivz.***/photouploader/ImageUploader4.cab?nocache=20071128-1 O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - h**p://static.pe.studivz.***/photouploader/ImageUploader5.cab?nocache=1213805653 O18 - Protocol: haufereader - (no CLSID) - (no file) O20 - AppInit_DLLs: C:\WINDOWS\System32\msqhhqh.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe -- End of file - 8358 bytes Ich hoffe ihr könnt mir helfen. Schon mal danke in vorraus. |
|
09.07.2008, 20:00
| #2 |
| /// the machine /// TB-Ausbilder    | Werbung nervt, Vieren?Hi katej und  Kannst Du auf Deinem Computer alles sehen? Im Windows-Explorer >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren. ========================================================= Lade folgende Dateien bei Virustotal hoch, und poste die Ergebnisse. Code:
ATTFilter C:\WINDOWS\System32\msqhhqh.dll
C:\WINDOWS\system32\jslkails.dll
========================================================= lade bitte den Deckard's System Scanner (DSS) herunter und speichere ihn auf deinem Desktop. NB: Du musst mit Administrator-Rechten angemeldet sein, um dieses Programm laufen lassen zu können. 1. Schließe ALLE Anwendungen und Fenster. 2. Mach einen Doppelklick auf die dss.exe um sie auszuführen und folge den Prompts. 3. Wenn der Scan vollendet ist, werden sich zwei Textdateien öffnen - main.txt <- dieses wird maximiert dargestellt und extra.txt <- dieses wird als minmierte Datei dargestellt 4. Kopiere (STRG+A und STRG+C) und füge (STRG+V) den Inhalt von main.txt und den Inhalt von extra.txt in deine nächste Antwort. Die Logdateien können sehr lang werden. gruß schrauber
__________________ |
|
09.07.2008, 20:52
| #3 | ||||
| | Werbung nervt, Vieren?Zitat:
Zitat:
========================================================= Zitat:
2. Die Datei wurde bereits analysiert: MD5: a85d4754472f2cdd37c69f64449b49b4 First received: 2008.07.08 13:47:15 (CET) Datum 2008.07.09 16:10:56 (CET) [<1D] Ergebnisse 8/33 Permalink: analisis/3fe3ac0a1f8ceac99f9f8e13857a2d6e ========================================================= Zitat:
|
|
09.07.2008, 21:07
| #4 |
| /// the machine /// TB-Ausbilder | Werbung nervt, Vieren? Hi, Ich brauch das ganze Ergebniss der Datei, nicht nur die Größenangaben. Lasse Sie bitte erneut scannen. Was kommt den für ne Auswahlmöglichkeit wenn Du Runthis.bat startest?? gruß schrauber
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
10.07.2008, 06:39
| #5 |
| | Werbung nervt, Vieren? Das Ergebnis: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.9.2 2008.07.09 - AntiVir 7.8.0.64 2008.07.09 HEUR/Crypted Authentium 5.1.0.4 2008.07.08 - Avast 4.8.1195.0 2008.07.09 - AVG 7.5.0.516 2008.07.09 - BitDefender 7.2 2008.07.09 - CAT-QuickHeal 9.50 2008.07.09 - ClamAV 0.93.1 2008.07.09 - DrWeb 4.44.0.09170 2008.07.09 - eSafe 7.0.17.0 2008.07.08 Suspicious File eTrust-Vet 31.6.5940 2008.07.09 - Ewido 4.0 2008.07.09 - F-Prot 4.4.4.56 2008.07.08 - F-Secure 7.60.13501.0 2008.07.08 - Fortinet 3.14.0.0 2008.07.09 - GData 2.0.7306.1023 2008.07.09 - Ikarus T3.1.1.26.0 2008.07.09 - Kaspersky 7.0.0.125 2008.07.09 - McAfee 5334 2008.07.08 - Microsoft 1.3704 2008.07.09 Trojan:Win32/Vundo.gen!R NOD32v2 3255 2008.07.09 Win32/Adware.AdMedia Norman 5.80.02 2008.07.08 - Panda 9.0.0.4 2008.07.08 Suspicious file Prevx1 V2 2008.07.09 Fraudulent Security Program Rising 20.52.22.00 2008.07.09 - Sophos 4.31.0 2008.07.09 Troj/Virtum-Gen Sunbelt 3.1.1509.1 2008.07.04 - Symantec 10 2008.07.09 - TheHacker 6.2.96.374 2008.07.07 - TrendMicro 8.700.0.1004 2008.07.09 - VBA32 3.12.6.8 2008.07.08 - VirusBuster 4.5.11.0 2008.07.08 - Webwasher-Gateway 6.6.2 2008.07.09 Heuristic.Crypted weitere Informationen File size: 90880 bytes MD5...: a85d4754472f2cdd37c69f64449b49b4 SHA1..: 80d0742050fa3cd8bea54a95464ab8847079657f SHA256: 786a8fe5133a1550078124713048ee33589b63fb0a0e6f818975ca06db19bb2f SHA512: 037f5c9e9125cbefb2f7adb5bc20d78b705fc6bb03cdb40433a4284e6a80337e 0b6daa3c10292d811eeeeb9003f9e9c88ce7a4e1c7fef3496ee10b51746e3513 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1002b633 timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x18000 0xda00 8.00 b0c473ed1f368529528f5096de931f6c .rdata 0x19000 0x8000 0x4a00 7.99 4e05cb915b5e2e6c4abd11782a3ed493 .data 0x21000 0x2000 0x400 7.80 e66580e42dedd9a3dd4591afa30a507c .rsrc 0x23000 0x6000 0x1200 7.96 8dd5b1c6221590d938d071dbc0b77c61 .reloc 0x29000 0x2000 0x1200 7.96 3e7e4b429948fd502f6b1c047a708ad3 .pcle 0x2b000 0x2000 0x1300 5.34 cbcd44351a1fdb02804423435547ee93 ( 2 imports ) > KERNEL32.dll: ExitProcess > USER32.dll: GetDesktopWindow, EndPaint, BeginPaint, DispatchMessageA, TranslateMessage, DialogBoxParamA ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=3A9CE9F500FC696E6329015FF7569A0006190262 Die Auswahlmöglichkeiten: A,B,C,D,U,1,2,3,4 or E to Exit. 1 Download/Run a-squared from EMSI Software 2 Download/Run Norman Malware cleaner from norman 3 Download/Run Sav32cli from sophos a create system report b create service/dreiver list c create catchme log d export safeBoot key u Downloade latest version of SDFix |
|
10.07.2008, 16:56
| #6 |
| /// the machine /// TB-Ausbilder | Werbung nervt, Vieren? Hi, Es sieht so aus als hättest Du SDFix im normalen Modus ausgeführt. Du sollst aber das Tool im abgesicherten Modus starten  .gruß schrauber
__________________ --> Werbung nervt, Vieren? |
|
| Themen zu Werbung nervt, Vieren? |
| adobe, antivirus, askbar, avira, ctfmon.exe, dateien, dll, drivers, dsl, excel, explorer, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, messenger, microsoft, nvidia, pop-up-blocker, programme, rundll, software, symantec, system, urlsearchhook, werbung, windows, windows xp, yahoo, öffnet |
Hybrid-Darstellung
