Ungewollten Popups nach angeblicher Windows Warnug

mr28meli · 24.07.2008, 20:42

Hallo zusammen,

ich habe immer noch Ärger mit sich dauernt öffnenden PoP Ups, trotz ausführlicher Reihnigunsmaßnahmen sowohl im Abgesicherten Modus als auch im Normalen Modus.

Wie es dazu kam :
vor ein paar Tagen bekam ich ein Warnmeldung auf den Desktop, die sich als Fake herrausstellte. Sie hat sich als Microsoft Warnmeldung getarnt und auf eine Spyware Bedrohung aufmerksam gemacht. Man sollte dann auf Spyware-Secure.c*m einen onlinescann machen. Das kam mir schon irgenwie merkwürdig vor und ich habe das Ganze dann abgebrochen, doch wie sich bei meinen Recherchen herrausstellte wohl ein Fehler.

Nun zu den schon ergriffenen Maßnahmen:

Mehr als ausführliche Reinigungen mit :
Spybot Search and Destroy, Adaware
SE, Ewido Security Suite, Regseeker und Clean Prog, sowie XP Clean,
das ganze im abgesicherten Modus, bzw. im Clean Prog, Regseeker und XP Clean im normalen Modus.

dabei habe ich dann schon,
eine Prefix BHO
und den TR/Dropper
eleminiert, doch irgendwie schein das nicht zu reichen!

Die Progies finden jedenfalls nichts mehr und die Cleaner sind auch schon hundert mal durchgelaufen und meine Weißheiten am Ende.

Es öffnen sich immernoch Popups von den unterschiedlichsten Seiten in einem 2 Explorer Fenster, nach kurzer Zeit! (IE 7)
Im Explorer habe ich schon unter Extras, Erweiter, Inhalt, Inhaltsratgeber Maßnahmen ergriffen, diese Seiten nicht mehr anzeigen zu lassen, doch es offnen sich immer noch mit vorliebe Seiten wie :
h**p://em.pc-on-internet.com/?*
und ein riesen Schwanz von Zeichen und Zahlen, die ich jetzt nicht alle aufschreiben wollte!

zu guter letzt noch der Log File von Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:48:38, on 24.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ScanSoft\OmniPage15.0\Opware15.exe
C:\WINDOWS\system32\CmWatch.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ScanSoft\OmniPage15.0\OpAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\dokumente und einstellungen\m***** r\lokale einstellungen\anwendungsdaten\okwgg.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Corel\WordPerfect Office 2000\Register\Remind32.exe
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Programme\Corel\WordPerfect Office 2000\programs\ccwin9.exe
C:\Programme\Corel\WordPerfect Office 2000\programs\alarm.exe
C:\Programme\Corel\WordPerfect Office 2000\programs\dad9.exe
C:\Programme\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\svchost.exe
L:\Spywarekillen\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.welt.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programme\ReGetDx\iebar.dll
O3 - Toolbar: T1 - {4180A6C9-26D0-4A15-A2CD-A24E3178E386} - C:\PROGRA~1\LANGEN~1.0TE\Engine\mte\StdAlone\T1IE.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [Opware15] "C:\Programme\ScanSoft\OmniPage15.0\Opware15.exe"
O4 - HKLM\..\Run: [PDF3 Registry Controller] "C:\Programme\ScanSoft\OmniPage15.0\PDFConverter3\\RegistryController.exe"
O4 - HKLM\..\Run: [CmCardRun] C:\WINDOWS\system32\CmWatch.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] "C:\WINDOWS\system32\PSDrvCheck.exe" -CheckReg
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [OpAgent] "C:\Programme\ScanSoft\OmniPage15.0\OpAgent.exe" /agent
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [okwgg] c:\dokumente und einstellungen\m*****r\lokale einstellungen\anwendungsdaten\okwgg.exe okwgg
O4 - HKCU\..\Run: [SpybotSD TeaTimer] "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Corel Registration.lnk = C:\Programme\Corel\WordPerfect Office 2000\Register\Remind32.exe
O4 - Global Startup: CorelCENTRAL 9.LNK = C:\Programme\Corel\WordPerfect Office 2000\programs\ccwin9.exe
O4 - Global Startup: CorelCENTRAL-Benachrichtigungsfunktionen.LNK = C:\Programme\Corel\WordPerfect Office 2000\programs\alarm.exe
O4 - Global Startup: Desktop Application Director 9.LNK = C:\Programme\Corel\WordPerfect Office 2000\programs\dad9.exe
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Programme\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: PDF in Word öffnen (PDF Converter 3.0) - res://C:\Programme\ScanSoft\OmniPage15.0\PDFConverter3\IEShellExt.dll /500
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {CAE22C43-95EC-47AA-8BAF-1B06C2BCCFCA} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {CAE22C43-95EC-47AA-8BAF-1B06C2BCCFCA} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1207998990421
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 12980 bytes

Wer kann mir hier helfen?
Schon einmal Danke im vorraus
mr28meli

mr28meli · 25.07.2008, 22:43

Kann mir jemad bitte helfen die Popups sind schon recht nervig!

Oder reicht es den Explorer einfach nur neu zu installieren ?

Danke
Grüße mr28meli

**Sunny** · 25.07.2008, 23:09

Hallo mr28meli und

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\dokumente und einstellungen\m***** r\lokale einstellungen\anwendungsdaten\okwgg.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

mr28meli · 27.07.2008, 11:30

Hallo Sunny,recht vielen Dank für deine Antwort,ich habe nach der okwgg.exe gegoogelt und bin aber nicht wirklich fündig geworden, so habe ich mir gedacht, die Datei + die dazugehörigen .dat und .ini Dateien im Abgesicherten Modus zu löschen. Anschließend habe ich mit Regseeker, alles gelöscht, was er noch zu der Datei finden konnte und mit ClearProg dann den Müll raus gebracht.

Wunderbar, nun ist wieder ruhiges Surfen angesagt.

Danke für den Tipp
mr28meli

P.S. Die ganzen Anti Spyware- und Virensacanns sind auf dies Datei nicht aufmerksam geworden.
Das muss schon echt ein überler Brocken gewesen sein!
Nochmals Danke

**Sunny** · 27.07.2008, 11:43

Ich brauche den Report von Malwarebytes und ein neues Hijacklog, zumal ich nicht denke das schon alles entfernt wurde.

außerdem:

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

mr28meli · 27.07.2008, 11:50

Hmmm, ok werd ich dann gleich mal machen, allerdings habe ich MalewareBytes vor der entfernung nicht mehr durchlaufen lassen!

ich werd jetzt gleich erst mal denLogfile von HijackThis posten und dann den Combofix mal vertraut machen und die Schritte abarbeiten.

Grüße

mr28meli · 27.07.2008, 12:23

So hier vorab noch der Logfile:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]

------------------------------------

nun werd ich mich an den combofix begeben.

mr28meli · 27.07.2008, 14:04

ok, mach ich der combifix ist fertig!
befor ich den logflie poste, brauchst du den von Hijack this noch mal ?
sry ich hab da wohl einpaar zu machende Änderungen übsehen!

Noch eine frage vorab, combofix hat nach dem scan, den Rechner wohl runter gefahren, bzw, alle Programme wieder gestartet, auch die Antivieren und Antispyware Progs, jetzt bekomme ich von Spyware S&D die Meldung:
Hat festgestellt, das ein wichtiger Reg Eintrag geändert wurde
Kategorie: System Startup userentry
Änderung: Wertgelöscht
Eintrag: okwgg
Alte Datei: C:/Dokumente Einstellungen/ m*****r/lo.... (mehr sehe ich leider nicht )

und dann Erlauben oder Verweiger ?

Ich hab da noch nichts gemacht !

und ewas später dann war der Logfile erst fertig von Combofix
Grüße mr28meli

mr28meli · 27.07.2008, 14:34

So hier ist der Logfile von Combofix:

ComboFix 08-07-26.1 - M*****R 2008-07-27 14:45:24.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.526 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\M***** R\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\M******R\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\FTPx.dll
C:\WINDOWS\system32\MSBII.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-27 bis 2008-07-27 ))))))))))))))))))))))))))))))
.

2008-07-27 14:25 . 2008-07-27 14:25 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-07-27 14:25 . 2008-07-27 14:25 <DIR> d-------- C:\WINDOWS\EHome
2008-07-27 14:25 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\000001_.tmp
2008-07-27 14:06 . 2008-07-27 14:06 <DIR> d-------- C:\Programme\CCleaner
2008-07-26 20:08 . 2008-07-26 20:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IM
2008-07-24 19:18 . 2008-07-24 19:18 <DIR> d--hs---- C:\found.000
2008-07-24 13:33 . 2008-07-24 13:33 2,688 --a------ C:\WINDOWS\system32\settings.aaw
2008-07-24 13:33 . 2008-07-24 13:33 752 --a------ C:\WINDOWS\system32\history.aaw
2008-07-24 13:26 . 2008-07-24 13:26 <DIR> d-------- C:\Programme\ClearProg
2008-07-24 13:11 . 2008-07-24 13:11 <DIR> d-------- C:\Dokumente und Einstellungen\M******R\Anwendungsdaten\Grisoft
2008-07-24 13:11 . 2007-05-30 14:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-07-24 13:10 . 2008-07-24 13:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2008-07-24 13:07 . 2008-07-24 13:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-23 18:52 . 2008-07-25 19:03 <DIR> d-------- C:\Programme\XPcleanv5
2008-07-23 18:43 . 2008-07-23 18:43 <DIR> d-------- C:\Programme\Camtech
2008-07-23 18:43 . 2001-09-03 07:52 766 --a------ C:\WINDOWS\win98Logo.ico
2008-07-23 18:18 . 2008-07-23 18:31 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-22 12:58 . 2008-07-22 12:58 61,678 --a------ C:\WINDOWS\PFP90JPR.{PB
2008-07-22 12:58 . 2008-07-22 12:58 12,358 --a------ C:\WINDOWS\PFP90JCM.{PB
2008-07-17 13:58 . 2008-07-17 13:58 0 --a------ C:\WINDOWS\qpw.INI
2008-07-16 19:48 . 2008-07-16 19:48 <DIR> d-------- C:\Programme\Langenscheidt T1 5.0 Testversion
2008-07-16 19:26 . 2008-07-25 18:46 52 --a------ C:\WINDOWS\system32\mapisvc.inf
2008-07-16 19:25 . 2008-07-16 19:25 <DIR> d-------- C:\Programme\Borland
2008-07-16 18:42 . 2008-07-16 18:42 <DIR> d-------- C:\Programme\WordToys
2008-07-16 18:42 . 2003-04-23 14:03 159,744 --a------ C:\WINDOWS\system32\CNewMenu6.dll
2008-07-16 18:42 . 2002-05-20 13:22 5,184 --a------ C:\WINDOWS\system32\ShLink.tlb
2008-07-16 18:20 . 2008-07-16 18:20 <DIR> d-------- C:\Programme\Periodensystem der Elemente
2008-07-16 18:19 . 2008-07-16 18:19 <DIR> d-------- C:\Programme\Paragon
2008-07-11 21:33 . 2008-07-11 21:33 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-07-11 21:33 . 2008-07-11 21:33 1,409 --a------ C:\WINDOWS\QTFont.for
2008-07-11 15:49 . 2008-07-11 15:49 <DIR> d-------- C:\Programme\ShiftN
2008-07-08 22:50 . 2008-07-08 22:50 <DIR> d-------- C:\WINDOWS\$SQLUninstallSQL2000-KB948110-v8.00.2050-x86-ENU$
2008-07-07 14:51 . 2008-07-07 14:51 <DIR> d-------- C:\Programme\Nero
2008-07-07 14:51 . 2008-07-07 14:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-07-03 15:40 . 2008-07-03 15:40 <DIR> d-------- C:\Programme\Avery Dennison
2008-07-03 15:40 . 2008-07-03 15:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avery

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-27 12:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-26 16:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-07-25 17:12 --------- d-----w C:\Programme\Magic Mahjongg 3D
2008-07-25 16:46 --------- d-----w C:\Programme\Corel
2008-07-25 11:49 --------- d-----w C:\Programme\Ahead
2008-07-24 19:57 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-24 19:57 --------- d-----w C:\Programme\Google
2008-07-24 11:07 --------- d-----w C:\Programme\Lavasoft
2008-07-24 11:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-23 10:37 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-07-21 15:53 --------- d-----w C:\Programme\Munnin
2008-07-19 11:38 --------- d-----w C:\Programme\Xilisoft
2008-07-18 11:33 --------- d-----w C:\Dokumente und Einstellungen\M*****R\Anwendungsdaten\Corel
2008-07-12 14:59 --------- d-----w C:\Programme\Punch!
2008-07-07 12:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-07-04 10:58 --------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared
2008-07-04 10:58 --------- d-----w C:\Dokumente und Einstellungen\M*****R\Anwendungsdaten\Teleca
2008-06-27 21:18 --------- d-----w C:\Dokumente und Einstellungen\M*****R\Anwendungsdaten\ZoomBrowser EX
2008-06-26 18:41 --------- d-----w C:\Programme\3D Mühle
2008-06-24 16:15 --------- d-----w C:\Programme\MEINHAUSPLANER
2008-06-24 16:15 --------- d-----w C:\Programme\Gemeinsame Dateien\BAUSET
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-19 18:36 --------- d-----w C:\Programme\49305_3D_Haus-Design_Studio_Comfort
2008-06-19 18:22 414,819,031 ----a-w C:\Programme\49305_3D_Haus-Design_Studio_Comfort.zip
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-03 14:16 --------- d-----w C:\Programme\FreePDF_XP
2008-06-02 09:52 --------- d-----w C:\Dokumente und Einstellungen\M******R\Anwendungsdaten\MSNInstaller
2008-05-29 18:45 --------- d-----w C:\Programme\Yahoo!
2008-05-28 08:27 --------- d-----w C:\Programme\Microsoft SQL Server Compact Edition
2008-05-28 08:20 --------- dcsh--w C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-05-28 08:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-05-27 18:06 --------- d-----w C:\Dokumente und Einstellungen\Manfred R\Anwendungsdaten\dvdcss
2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-01-24 13:18 7,467,056 ----a-w C:\Programme\spybotsd15.exe
2007-08-07 20:33 1,239,066 ----a-w C:\Programme\WINISO53.EXE
2006-11-14 21:52 170 ---ha-w C:\Dokumente und Einstellungen\M*****R\hpothb07.dat
2004-09-18 12:28 20,480 ----a-w C:\WINDOWS\inf\WtUninst.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360]
"OpAgent"="C:\Programme\ScanSoft\OmniPage15.0\OpAgent.exe" [2005-09-26 18:27 155648]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-05-29 19:41 149040]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 09:42 2156368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-21 06:09 7561216]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-06-21 06:09 86016]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-30 00:14 155648]
"Opware15"="C:\Programme\ScanSoft\OmniPage15.0\Opware15.exe" [2005-09-26 18:21 69632]
"PDF3 Registry Controller"="C:\Programme\ScanSoft\OmniPage15.0\PDFConverter3\\RegistryController.exe" [2005-08-25 10:33 106496]
"CmCardRun"="C:\WINDOWS\system32\CmWatch.exe" [2003-09-16 17:50 229376]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 13:35 266497]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2005-01-12 15:54 241664]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-11 00:26 406016]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"NBKeyScan"="C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe" [2007-05-24 17:38 1226288]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-13 12:41 282624]
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
"RTHDCPL"="RTHDCPL.EXE" [2005-05-25 17:37 14477312 C:\WINDOWS\RTHDCPL.EXE]
"nwiz"="nwiz.exe" [2006-06-21 06:09 1519616 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\eurowin\\FOCUS-MONEY\\MAXTAX.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"=
"C:\\Programme\\Pinnacle\\Shared Files\\Programs\\MediaManager\\PMSManager.exe"=
"C:\\Programme\\Langenscheidt T1 5.0 Testversion\\Engine\\mte\\bin\\tmengine.exe"=
"C:\\Programme\\Langenscheidt T1 5.0 Testversion\\Engine\\mte\\bin\\lexAPI.exe"=
"C:\\Programme\\Langenscheidt T1 5.0 Testversion\\Engine\\mte\\StdAlone\\MT_Alone.exe"=
"C:\\Programme\\Langenscheidt T1 5.0 Testversion\\Engine\\mte\\bin\\engine.exe"=
"C:\\Programme\\Microsoft Office\\OFFICE11\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\OFFICE11\\EXCEL.EXE"=

R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-07-27 10:13]
R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-07-27 12:46]
R3 UMSSSTOR;C-Media Storage;C:\WINDOWS\system32\DRIVERS\UMSS.SYS [2004-07-13 12:40]
S3 PciCon;PciCon;D:\PciCon.sys []
S3 s716bus;Sony Ericsson Device 716 driver (WDM);C:\WINDOWS\system32\DRIVERS\s716bus.sys [2007-04-04 12:43]
S3 s716mdfl;Sony Ericsson Device 716 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s716mdfl.sys [2007-04-04 12:43]
S3 s716mdm;Sony Ericsson Device 716 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s716mdm.sys [2007-04-04 12:43]
S3 s716mgmt;Sony Ericsson Device 716 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s716mgmt.sys [2007-04-04 12:43]
S3 s716nd5;Sony Ericsson Device 716 USB Ethernet Emulation SEMC716 (NDIS);C:\WINDOWS\system32\DRIVERS\s716nd5.sys [2007-04-04 12:43]
S3 s716obex;Sony Ericsson Device 716 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s716obex.sys [2007-04-04 12:43]
S3 s716unic;Sony Ericsson Device 716 USB Ethernet Emulation SEMC716 (WDM);C:\WINDOWS\system32\DRIVERS\s716unic.sys [2007-04-04 12:43]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9abf8f9e-2ed5-11db-831a-806d6172696f}]
\shell\play\Command - "C:\Programme\Windows Media Player\wmplayer.exe" /prefetch:3 /device:AudioCD "%L"
.
.
------- Zus„tzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = h****p://**w.welt.de/
R0 -: HKCU-Main,SearchMigratedDefaultURL = h****p://***w.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
O8 -: &eBay Search - C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 -: &Windows Live Search
O8 -: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 -: Add to Windows &Live Favorites
O8 -: Convert link target to Adobe PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 -: Convert link target to existing PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 -: Convert selected links to Adobe PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 -: Convert selected links to existing PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 -: Convert selection to Adobe PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 -: Convert selection to existing PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 -: Convert to Adobe PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 -: Convert to existing PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 -: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 -: PDF in Word öffnen (PDF Converter 3.0) - C:\Programme\ScanSoft\OmniPage15.0\PDFConverter3\IEShellExt.dll /500

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h***p://**w.gmer.net
Rootkit scan 2008-07-27 14:49:54
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\MDM.EXE
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Programme\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\HP\hpcoretech\comp\hpdarc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-27 14:56:23 - PC wurde neu gestartet [M*****R]
ComboFix-quarantined-files.txt 2008-07-27 12:56:18

Pre-Run: 11 Verzeichnis(se), 87,432,527,872 Bytes frei
Post-Run: 17 Verzeichnis(se), 87,406,383,104 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

216 --- E O F --- 2008-07-27 09:34:30

--------
mr28meli

Ungewollten Popups nach angeblicher Windows Warnug

Log-Analyse und Auswertung: Ungewollten Popups nach angeblicher Windows Warnug