Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: IE-Werbepopups und Sounds

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 01.08.2008, 00:59   #1
Zato
 
IE-Werbepopups und Sounds - Standard

IE-Werbepopups und Sounds



Hi Seit einiger Zeit öffnen sich bei mir Popups mit scheinbar zufälligem Werbeinhalt. Habe bis vor kurzem IE benutzt, bin aber jetzt auf komplett upgedateten Firefox mit Adblock umgestiegen. (IE deinstalliert)
Die Probleme traten bereits vor dem Wechsel auf.
Die Popups öffnen sich allerdings nicht im FOX sondern immernoch im IE.
Ausserdem läuft die IExplorer.exe ab und zu im Hintergrund, ohne das sich ein Fenster öffnet. Ausserdem ist manchmal ein merkwürdiger Jingle zu hören, oder mehrere Pieptöne in Folge ( Kommt nicht aus dem Gehäuse, sondern aus den Boxen ^^)

Spybot findet nichts und etrust Antivirus auch nicht.

Naja, ich hab auch schon googleabgegrast aber bin jetzt nicht weitergekommen, ich vermute ja, dass es irgendwas mit --> l04O8v8Q.exe zu tun haben könnte, aber ich dachte mir ich lass mal Leute mit mehr Ahnung draufgucken.

Danke im Vorraus, Gruß Zato

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:45:06, on 01.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\zHotkey.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Razer\Tarantula\razerhid.exe
C:\Programme\Razer\DeathAdder\razerhid.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Razer\DeathAdder\razerofa.exe
C:\WINDOWS\system32\l04O8v8Q.exe
C:\Programme\Trend Micro\this is hijack\blackjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht**://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h***://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Tarantula] C:\Programme\Razer\Tarantula\razerhid.exe
O4 - HKLM\..\Run: [DeathAdder] C:\Programme\Razer\DeathAdder\razerhid.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Ahead\Nero BackItUp\NBKeyScan.exe" /devicetypehilips
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 -noicon
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de/
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - h**p://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103478587671
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - [*url]h**p://messenger.zone.msn.com/binary/Chess.cab31267.cab[/*url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD8FD6FE-E3F6-4D8E-8129-E9B41B75C54D}: NameServer = 1**.1**.1.1
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7008 bytes

Alt 01.08.2008, 09:51   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
IE-Werbepopups und Sounds - Cool

IE-Werbepopups und Sounds



Zitat:
Zitat von Zato Beitrag anzeigen
(IE deinstalliert)
Den IE kann man so nicht deinstallieren, jedenfalls nicht ohne bleibende Schäden in Windows zu hinterlassen. Der MS-Frickelbrowser ist einfach zu stark mit Windows verstrickt.
Code:
ATTFilter
C:\WINDOWS\system32\l04O8v8Q.exe
         
Bitte bei Virustotal.com auswerten lassen und Ergebnisse posten!

Deinstalliere unbedingt die veralteten Versionen vom Adobe Reader (Version 7) und Java, denn die enthalten erhebliche Sicherheitslücken. Spiel so schnell es geht die aktuellen Programme ein.

Mach danach bitte einen Durchlauf mit ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
__________________

__________________

Alt 01.08.2008, 10:13   #3
Zato
 
IE-Werbepopups und Sounds - Icon27

IE-Werbepopups und Sounds



Hm irgendwie kann ich meinen Beitrag nicht editieren O_o. Naja, hier schonmal das was Virustotal dazu sagt :

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.29.1 2008.07.31 Win32/NSAnti.suspicious
AntiVir 7.8.1.15 2008.07.31 TR/Crypt.ULPM.Gen
Authentium 5.1.0.4 2008.07.31 -
Avast 4.8.1195.0 2008.07.31 Win32:Trojan-gen {Other}
AVG 8.0.0.156 2008.07.31 Generic10.BGUN
BitDefender 7.2 2008.07.31 Trojan.Adclicker.HB
CAT-QuickHeal 9.50 2008.07.30 TrojanDownloader.Agent.wza
ClamAV 0.93.1 2008.07.31 Trojan.Downloader-49111
DrWeb 4.44.0.09170 2008.07.31 Trojan.DownLoad.3179
eSafe 7.0.17.0 2008.07.29 Suspicious File
eTrust-Vet 31.6.5997 2008.07.31 -
Ewido 4.0 2008.07.31 -
F-Prot 4.4.4.56 2008.07.30 -
F-Secure 7.60.13501.0 2008.07.31 Trojan-Downloader.Win32.Agent.wza
Fortinet 3.14.0.0 2008.07.31 W32/Agent.WZA!tr.dldr
GData 2.0.7306.1023 2008.07.31 Trojan-Downloader.Win32.Agent.wza
Ikarus T3.1.1.34.0 2008.07.31 Trojan-Downloader.Win32.Agent.vvi
Kaspersky 7.0.0.125 2008.07.31 Trojan-Downloader.Win32.Agent.wza
McAfee 5350 2008.07.30 Downloader.gen.a
Microsoft 1.3704 2008.07.28 -
NOD32v2 3314 2008.07.31 a variant of Win32/TrojanClicker.Agent.NEB
Norman 5.80.02 2008.07.31 W32/Adclicker.EKF
Panda 9.0.0.4 2008.07.31 W32/Brontok.JT.worm
PCTools 4.4.2.0 2008.07.31 -
Prevx1 V2 2008.07.31 Malicious Software
Rising 20.55.32.00 2008.07.31 Trojan.Win32.Undef.jrw
Sophos 4.31.0 2008.07.31 Mal/HckPk-A
Sunbelt 3.1.1537.1 2008.07.29 Trojan-Downloader.Win32.Agent.wza
Symantec 10 2008.07.31 Trojan.Adclicker
TheHacker 6.2.96.389 2008.07.25 -
TrendMicro 8.700.0.1004 2008.07.31 TROJ_AGENT.AGIU
VBA32 3.12.8.1 2008.07.31 Trojan-Downloader.Win32.Agent.wza
ViRobot 2008.7.31.1319 2008.07.31 Spyware.Agent.Do.35842.D
VirusBuster 4.5.11.0 2008.07.31 -
Webwasher-Gateway 6.6.2 2008.07.31 Trojan.Crypt.ULPM.Gen
weitere Informationen
File size: 35842 bytes
MD5...: 2866987716da7a2f868e4b64b421b453
SHA1..: 348b3acf92245787dbecf5bc7aed29205b4375d5
SHA256: e78c6e6a599d978b4abf287ff7964f51f3032c6ff759ebe15cf38e83a996e949
SHA512: 342d6b86294e9abe7e876fb349e0a7ae5c8b4ce878fc2acb1c2a885212d18255
58fb2ddcbaa3ea907bf8083a86a84364a23b3295b41956cef8db372b4e86016c
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4141c9
timedatestamp.....: 0x4885a292 (Tue Jul 22 09:04:18 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xb000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xc000 0x9000 0x8400 7.99 bc43ef24f5bfc5c90d4b3f7fba678f82
UPX2 0x15000 0x1000 0x400 2.73 af8114c7acc7de4abf32e98010e97503

( 9 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: RegCloseKey
> NETAPI32.dll: NetScheduleJobAdd
> ole32.dll: CoInitialize
> OLEAUT32.dll: -
> SHELL32.dll: StrChrA
> SHLWAPI.dll: StrDupA
> USER32.dll: wsprintfA
> WININET.dll: InternetOpenA

------------------------------------------------------------------------------------------------------
ComboFix 08-07-31.02 - Ace 2008-08-01 11:46:58.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.658 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Ace\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-07-01 bis 2008-08-01 ))))))))))))))))))))))))))))))
.

2008-08-01 11:18 . 2008-08-01 11:18 <DIR> d-------- C:\Programme\CCleaner
2008-08-01 01:20 . 2008-08-01 01:20 <DIR> d-------- C:\Programme\Trend Micro
2008-07-28 17:48 . 2008-07-28 17:48 <DIR> d-------- C:\WINDOWS\system32\Samsung_USB_Drivers
2008-07-28 17:48 . 2006-05-03 22:53 174,592 --a------ C:\WINDOWS\system32\framedyn.dll
2008-07-28 17:48 . 2005-12-22 12:24 137,884 --a------ C:\WINDOWS\system32\drivers\sscdmdm.sys
2008-07-28 17:48 . 2005-12-22 12:24 80,272 --a------ C:\WINDOWS\system32\drivers\sscdbus.sys
2008-07-28 17:48 . 2005-12-22 12:24 11,877 --a------ C:\WINDOWS\system32\drivers\sscdcmnt.sys
2008-07-28 17:48 . 2005-12-22 12:24 11,877 --a------ C:\WINDOWS\system32\drivers\sscdcm.sys
2008-07-28 17:48 . 2005-12-22 12:24 11,188 --a------ C:\WINDOWS\system32\drivers\sscdwhnt.sys
2008-07-28 17:48 . 2005-12-22 12:24 11,188 --a------ C:\WINDOWS\system32\drivers\sscdwh.sys
2008-07-28 17:48 . 2005-12-22 12:24 10,864 --a------ C:\WINDOWS\system32\drivers\sscdmdfl.sys
2008-07-28 17:47 . 2006-07-24 16:05 5,632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys
2008-07-28 17:47 . 2005-08-28 20:51 766 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-07-27 21:40 . 2008-07-27 21:40 230 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-07-25 11:44 . 2008-07-25 11:44 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\AdobeUM
2008-07-25 00:20 . 2008-07-26 01:14 35,842 --a------ C:\WINDOWS\system32\l04O8v8Q.exe
2008-07-23 23:14 . 2007-08-01 22:47 102,664 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2008-07-23 19:26 . 2008-07-23 20:18 <DIR> d-------- C:\Dokumente und Einstellungen\Ace\.housecall6.6
2008-07-23 13:50 . 2008-07-23 13:50 0 --a------ C:\WINDOWS\system32\l04O8v8Q.exe.a_a
2008-07-23 11:00 . 2008-07-28 00:10 <DIR> dr------- C:\Dokumente und Einstellungen\NetworkService\Favoriten
2008-07-18 20:44 . 2008-07-18 20:44 0 --a------ C:\WINDOWS\system32\k4Y8QHkA.exe.a_a

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-01 09:40 13,440 ----a-w C:\WINDOWS\system32\drivers\USBCRFT.SYS
2008-08-01 09:09 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-07-31 21:56 --------- d-----w C:\Programme\EuroPoker
2008-07-28 23:44 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-27 16:56 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-07-24 08:26 --------- d-----w C:\Programme\PokerStars
2008-07-16 11:15 --------- d-----w C:\Programme\GK1neu
2008-07-11 17:04 --------- d-----w C:\Programme\ProtectDisc Driver Installer
2008-07-10 14:40 --------- d-----w C:\Programme\World of Warcraft
2008-06-29 15:36 --------- d-----w C:\Dokumente und Einstellungen\Ace\Anwendungsdaten\Skype
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-09 21:52 --------- d-----w C:\Dokumente und Einstellungen\Ace\Anwendungsdaten\ICQ
2008-06-09 21:51 --------- d-----w C:\Programme\ICQToolbar
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-03-11 10:57 111,752 ----a-w C:\Dokumente und Einstellungen\Ace\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-02-26 20:51 868 ----a-w C:\Programme\INSTALL.LOG
2004-12-19 18:53 8 --sh--r C:\WINDOWS\system32\A6A62D9C7F.sys
2004-12-19 18:53 4,184 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04 1415824]
"NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe" [2005-09-16 16:41 1961984]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2006-11-12 12:48 157592]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Realtime Monitor"="C:\PROGRA~1\CA\ETRUST~1\realmon.exe" [2004-06-26 01:17 504080]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"razertra"="C:\Programme\Razer\razertra.exe" [2004-10-10 18:21 208896]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-11-26 23:40 282624]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-29 00:43 8466432]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-29 00:43 81920]
"Tarantula"="C:\Programme\Razer\Tarantula\razerhid.exe" [2006-09-30 15:48 176128]
"DeathAdder"="C:\Programme\Razer\DeathAdder\razerhid.exe" [2006-12-06 22:30 159744]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2006-11-12 12:48 157592]
"Dit"="Dit.exe" [2004-04-02 14:31 86016 C:\WINDOWS\Dit.exe]
"CHotkey"="zHotkey.exe" [2004-05-17 19:30 543232 C:\WINDOWS\zHotkey.exe]
"nwiz"="nwiz.exe" [2007-06-29 00:43 1626112 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 02:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.X264"= x264vfw.dll
"vidc.yv12"= yv12vfw.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\CA\\eTrust Antivirus\\InocIT.exe"=
"C:\\Programme\\CA\\eTrust Antivirus\\Realmon.exe"=
"C:\\Programme\\CA\\eTrust Antivirus\\InoRpc.exe"=
"C:\\Programme\\NetMeeting\\Conf.exe"=
"C:\\Programme\\Miranda IM\\miranda32.exe"=
"C:\\Programme\\Steam\\SteamApps\\*******de\\counter-strike\\hl.exe"=
"C:\\Programme\\World of Warcraft\\BackgroundDownloader.exe"=
"C:\\Programme\\World of Warcraft\\WoW-1.12.x-to-2.0.1-deDE-patch-downloader.exe"=
"C:\\Programme\\World of Warcraft\\WoW-2.0.3-deDE-downloader.exe"=
"C:\\Programme\\World of Warcraft\\WoW-2.0.3.6299-to-2.0.5.6320-deDE-downloader.exe"=
"C:\\Programme\\World of Warcraft\\WoW-2.0.5.6320-to-2.0.6.6337-deDE-downloader.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Last.fm\\LastFM.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-10-28 17:35]
R2 acedrv11;acedrv11;C:\WINDOWS\system32\drivers\acedrv11.sys [2008-01-23 10:19]
R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-10-26 15:53]
R3 CardReaderFilter;Card Reader Filter;C:\WINDOWS\system32\Drivers\USBCRFT.SYS [2008-08-01 11:40]
R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2004-10-01 14:58]
S3 DAdderFltr;DeathAdder Mouse;C:\WINDOWS\system32\drivers\dadder.sys [2006-11-14 15:29]
S3 TarFltr;Razer Tarantula USB Keyboard;C:\WINDOWS\system32\Drivers\UsbFltr.sys [2006-09-27 14:48]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1abcf853-5351-11dd-a792-001109f3f155}]
\Shell\AutoRun\command - wscript go.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d623abd2-52ab-11d9-aff1-806d6172696f}]
\Shell\AutoRun\command - @%systemroot%\explorer.exe /e,.

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-06-20 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe []
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-Steam - (no file)
HKLM-Run-Cmaudio - cmicnfg.cpl


.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Ace\Anwendungsdaten\Mozilla\Firefox\Profiles\mz0rvtq0.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.spiegel-online.de


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-01 11:49:38
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-01 11:51:12
ComboFix-quarantined-files.txt 2008-08-01 09:51:08

Pre-Run: 7 Verzeichnis(se), 47,012,093,952 Bytes frei
Post-Run: 11 Verzeichnis(se), 47,327,674,368 Bytes frei

146 --- E O F --- 2008-07-28 12:45:02
__________________

Geändert von Zato (01.08.2008 um 11:11 Uhr)

Alt 04.08.2008, 17:48   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
IE-Werbepopups und Sounds - Cool

IE-Werbepopups und Sounds



Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
files to delete:
C:\WINDOWS\system32\l04O8v8Q.exe.a_a
C:\WINDOWS\system32\l04O8v8Q.exe
C:\WINDOWS\system32\k4Y8QHkA.exe.a_a
C:\WINDOWS\system32\k4Y8QHkA.exe
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Mach danach einen Durchlauf mit Malwarebytes.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 04.08.2008, 20:40   #5
Zato
 
IE-Werbepopups und Sounds - Standard

IE-Werbepopups und Sounds



So, ich glaube das dürfte es dann gewesen sein. =)

Vielen Dank für die Hilfe und bis dann

Gruss, Zato

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1025
Windows 5.1.2600 Service Pack 2
21:37:40 04.08.2008
mbam-log-8-4-2008 (21-37-40).txt
Scan-Methode: Vollständiger Scan (C:\
Durchsuchte Objekte: 118858
Laufzeit: 38 minute(s), 20 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Alt 04.08.2008, 20:41   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
IE-Werbepopups und Sounds - Icon32

IE-Werbepopups und Sounds



Das Log vom Avenger bitte noch nachreichen.
__________________
--> IE-Werbepopups und Sounds

Antwort

Themen zu IE-Werbepopups und Sounds
acroiehelper.dll, adblock, adobe, antivirus, application, bho, bonjour, canon, computer, dll, excel, firefox, helper, hijack, hijackthis, hkus\s-1-5-18, iexplorer.exe, internet, internet explorer, mehrere, monitor, nvidia, object, pdf, popups, programme, rundll, software, system, unknown file in winsock lsp, windows, windows xp




Ähnliche Themen: IE-Werbepopups und Sounds


  1. 100 Prozent CPU Auslastung; PC spielt plötzlich Sounds und Geräusche ab
    Plagegeister aller Art und deren Bekämpfung - 27.01.2015 (13)
  2. Werbung mit Tabblockierungen und komische Sounds in Chrome
    Mülltonne - 12.11.2014 (1)
  3. Sounds im Hintergrund in unregelmäßigen Abständen
    Plagegeister aller Art und deren Bekämpfung - 25.05.2014 (23)
  4. Windows 7 64-bit: seltsame Geräusche und Sounds aus meinem Labtop
    Log-Analyse und Auswertung - 20.08.2013 (14)
  5. Hohe CPU-Auslastung, schlechte Performance, vor allem bei Sounds & Video
    Log-Analyse und Auswertung - 17.08.2012 (25)
  6. Sirefef.Ak/W/M & komische Sounds Win7 64
    Plagegeister aller Art und deren Bekämpfung - 19.06.2012 (1)
  7. Klick Sounds und Musik ohne geöffnete Programme
    Log-Analyse und Auswertung - 17.08.2010 (15)
  8. Laufwerk kaputt, merkwürdige Sounds, Spiele werden minimiert
    Plagegeister aller Art und deren Bekämpfung - 02.08.2010 (14)
  9. Wave-Sound geht aus; Pop-Ups von InternetExplorer; seltsame Sounds
    Plagegeister aller Art und deren Bekämpfung - 21.07.2010 (17)
  10. Komische Sounds, Sound stellt sich zurück und IE Pop-Ups
    Plagegeister aller Art und deren Bekämpfung - 14.07.2010 (1)
  11. iexplorer.exe 2x offen sounds im hintergrund
    Log-Analyse und Auswertung - 18.01.2010 (4)
  12. Zufällig abgespielte Sounds mit unbekannter Quelle.
    Plagegeister aller Art und deren Bekämpfung - 02.01.2010 (8)
  13. Vorinstallierte Bilder/Sounds/Videos löschen
    Plagegeister aller Art und deren Bekämpfung - 08.11.2007 (0)
  14. Geheime Sounds?
    Plagegeister aller Art und deren Bekämpfung - 02.11.2006 (8)
  15. mein pc mach fehler sounds :( ( hab logfile)
    Log-Analyse und Auswertung - 12.02.2006 (1)
  16. Sounds aus Flash-Programm extrahieren
    Alles rund um Windows - 15.11.2003 (4)
  17. sounds für einzelne Programme abschalten
    Alles rund um Windows - 09.11.2003 (4)

Zum Thema IE-Werbepopups und Sounds - Hi Seit einiger Zeit öffnen sich bei mir Popups mit scheinbar zufälligem Werbeinhalt. Habe bis vor kurzem IE benutzt, bin aber jetzt auf komplett upgedateten Firefox mit Adblock umgestiegen. (IE - IE-Werbepopups und Sounds...
Archiv
Du betrachtest: IE-Werbepopups und Sounds auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.