Einen schönen Guten Abend zusammen,

könnte mir jemand bei der auswertung eines HijackThis Logs helfen? Auf meinem PC öffnen sich sporadisch immer wieder PopUps mit Werbung, auch wenn ich den IE oder Firefox gar nicht offen habe. Hier das Log:

----------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:46:37, on 07.08.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe
C:\Programme\RDPLB\RDPLBNPService.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINNT\system32\gO8w1qc2.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.kwick.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 195.95.221.2:3128
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: solution Class - {99C6D1BB-7555-474C-91DA-D8FB62A9CC75} - C:\WINNT\system32\G8aWhQCh.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /wait
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1115661101984
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: AVP Control Centre Service (AVPCC) - Kaspersky Labs. - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe
O23 - Service: RDPLBNP - Unknown owner - C:\Programme\RDPLB\RDPLBNPService.exe

--
End of file - 4624 bytes
--------------------------

Vielen Dank im Voraus! :-)

Hallo

Zitat:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 195.95.221.2:3128

Ist diese Proxyeinstellung bewußt vorgenommen worden?

Code: Alles auswählenAufklappen

ATTFilter

C:\WINNT\system32\gO8w1qc2.exe
C:\WINNT\system32\G8aWhQCh.dll
         

Bitte bei virustotal.com auswerten lassen und die Ergebnisse posten.
Ist Dein Kaspersky schon fündig geworden? Wenn ja von dem das Logfile posten mit den relevanten Infos.

Mach danach mal einen Durchlauf mit ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Hier das Log von ComboFix:
----------------------------

ComboFix 08-08-10.02 - Administrator 11.08.2008 7:22:40.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.96 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\bold.log
C:\Programme\Hotbar
C:\WINNT\Downloaded Program Files\HbInstIE.dll
C:\WINNT\Downloaded Program Files\UWA6PU_0001_N91M2107NetInstaller.exe
C:\WINNT\Web\default.htt

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-11 bis 2008-08-11 ))))))))))))))))))))))))))))))
.

2008-08-11 07:22 . 08-08-11 07:22 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_28c.dat
2008-08-11 07:05 . 08-08-11 07:05 <DIR> d-------- C:\Dokumente und Einstellungen\Default User.WINNT\Anwendungsdaten\AdobeUM
2008-08-08 19:06 . 08-08-08 19:06 276,806 ---h----- C:\WINNT\ShellIconCache
2008-08-08 16:13 . 08-08-08 16:13 80,384 --a------ C:\WINNT\system32\gO8w1qc2.exe
2008-08-08 16:13 . 08-08-08 16:13 0 --a------ C:\WINNT\system32\gO8w1qc2.exe.a_a
2008-08-07 18:41 . 08-08-07 18:41 <DIR> d-------- C:\Programme\Trend Micro
2008-08-04 12:41 . 08-08-04 12:41 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_508.dat
2008-07-23 08:40 . 08-07-23 08:40 <DIR> d-------- C:\WINNT\system32\Windows Media
2008-07-23 08:39 . 08-07-23 08:39 <DIR> d-------- C:\WINNT\msiinst.tmp
2008-07-23 08:39 . 08-07-23 08:40 <DIR> d--h-c--- C:\WINNT\$NtUpdateRollupPackUninstall$
2008-07-23 08:38 . 08-07-23 08:38 <DIR> d-------- C:\Programme\Common Files
2008-07-23 08:37 . 08-07-23 08:37 <DIR> d--h-c--- C:\WINNT\$SQLUninstallMDAC28-KB927779-x86-DEU$
2008-07-23 08:37 . 05-06-28 09:21 22,752 --a------ C:\WINNT\system32\spupdsvc.exe
2008-07-23 08:31 . 08-08-11 07:05 <DIR> d-------- C:\Dokumente und Einstellungen\Default User.WINNT\Anwendungsdaten
2008-07-23 08:31 . 08-07-23 08:31 957 --a------ C:\WINNT\setup.inf
2008-07-23 08:31 . 08-07-23 08:31 283 --a------ C:\WINNT\setup.rpt
2008-07-22 07:14 . 02-08-29 09:32 51,200 -----c--- C:\WINNT\system32\dllcache\msxml3r.dll
2008-07-21 15:19 . 08-07-21 15:19 29,760 --a------ C:\WINNT\system32\03raguqg.exe
2008-07-21 15:19 . 08-07-21 15:19 0 --a------ C:\WINNT\system32\03raguqg.exe.a_a
2008-07-18 21:51 . 07-07-30 19:18 34,136 --a------ C:\WINNT\system32\wucltui.dll.mui
2008-07-18 21:51 . 07-07-30 19:20 30,040 --a------ C:\WINNT\system32\wuaucpl.cpl.mui
2008-07-18 21:51 . 07-07-30 19:20 30,040 --a------ C:\WINNT\system32\wuapi.dll.mui
2008-07-18 21:51 . 07-07-30 19:18 20,824 --a------ C:\WINNT\system32\wuaueng.dll.mui
2008-07-15 07:00 . 08-07-15 07:00 <DIR> d-------- C:\Dokumente und Einstellungen\Default User.WINNT\Favoriten
2008-07-14 10:07 . 08-07-14 10:06 30,272 --a------ C:\WINNT\system32\K2npvc8w.exe
2008-07-14 10:07 . 08-07-14 10:07 0 --a------ C:\WINNT\system32\K2npvc8w.exe.a_a

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-07 16:43 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3
2008-06-25 09:41 66,832 ----a-w C:\WINNT\system32\mswsock.dll
2008-06-25 09:41 105,744 ----a-w C:\WINNT\system32\msafd.dll
2008-06-18 10:05 320,528 ----a-w C:\WINNT\system32\drivers\tcpip.sys
2005-05-09 13:02 271 ---h--w C:\Programme\desktop.ini
2005-05-09 13:02 22,080 ---h--w C:\Programme\folder.htt
2003-06-20 12:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [07-06-14 08:02 68856]
"internat.exe"="internat.exe" [03-06-20 14:00 20752 C:\WINNT\system32\internat.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVPCC"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" [03-09-08 13:53 479296]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [07-03-14 03:43 83608]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [06-03-28 13:56 77824]
"Synchronization Manager"="mobsync.exe" [03-06-20 14:00 112400 C:\WINNT\system32\mobsync.exe]
"VTTimer"="VTTimer.exe" [03-05-07 10:32 36864 C:\WINNT\system32\VTTimer.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [03-06-20 14:00 20752 C:\WINNT\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-20 14:00 189712]
"FlashPlayerUpdate"="C:\WINNT\system32\Macromed\Flash\FlashUtil9e.exe" [07-11-21 02:04 218496]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll


*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-08-11 C:\WINNT\Tasks\A496F27491816CD4.job
- c:\dokume~1\admini~1\anwend~1\trayme~1\16peakweb.exe []
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl


.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\jz7g1t6r.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.kwick.de/


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-11 07:26:52
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-11 7:28:33
ComboFix-quarantined-files.txt 2008-08-11 05:28:26

Pre-Run: 7,841,112,064 Bytes frei
Post-Run: 8,144,605,184 Bytes frei

102 --- E O F --- 2008-07-25 05:25:20

Mein zweiter Beitrag vom 07.08. ist ein LogFile eines anderen PCs, wie im ersten Satz des Eintrages beschrieben, mit welchem ich auch Probleme habe. Deswegen auch ein zweites Posting.
Kann man den sich auch noch anschauen oder soll der dann hier rein, obwohl es ein anderer PC ist und das Problem sich anders äußert?

Hallo,
kann mir jemand nochmal weiterhelfen. Es treten leider immer noch PopUps auf.

Vielen Dank im voraus.

Krabbler

(1)
Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

files to delete:
C:\WINNT\system32\gO8w1qc2.exe
C:\WINNT\system32\gO8w1qc2.exe.a_a
C:\WINNT\system32\03raguqg.exe
C:\WINNT\system32\03raguqg.exe.a_a
C:\WINNT\system32\K2npvc8w.exe
C:\WINNT\system32\K2npvc8w.exe.a_a
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

(2)
Mach ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows 2000

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINNT\system32\gO8w1qc2.exe" deleted successfully.
File "C:\WINNT\system32\gO8w1qc2.exe.a_a" deleted successfully.
File "C:\WINNT\system32\03raguqg.exe" deleted successfully.
File "C:\WINNT\system32\03raguqg.exe.a_a" deleted successfully.
File "C:\WINNT\system32\K2npvc8w.exe" deleted successfully.
File "C:\WINNT\system32\K2npvc8w.exe.a_a" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

listing.txt

Ok, mach mal bitte einen Durchlauf mit Malwarebytes Antimalware.

Ich hab in Deinem Programme-Ordner da einige unschöne Sachen wie NetPumper etc. gesehen. Aber erstmal möchte ich wissen, was Malwarebytes da noch aufdeckt.

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1070
Windows 5.0.2195 Service Pack 4

10:08:22 19.08.2008
mbam-log-08-19-2008 (10-08-22).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 48755
Laufzeit: 21 minute(s), 32 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\solution.solution (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\solution.solution.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{892b2785-b0d0-4aa2-ae6a-0ed60b00a979} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{00476c87-a276-49bf-86bc-ff005732430b} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8109fd3d-d891-4f80-8339-50a4913ace6f} (Adware.Zango) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\QooBox\Quarantine\C\WINNT\Downloaded Program Files\UWA6PU_0001_N91M2107NetInstaller.exe.vir (Rogue.Installer) -> Quarantined and deleted successfully.

Zitat:

c:\Programme\outbound_pro

Ähh...das scheint ein Programm für PCs in Callcentern zu sein. Wozu brauchst Du sowas auf einem Privat-PC?

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\WinZix
C:\Programme\NetPumper
         

Diese Ordner löschen.
Mach bitte ein neues Listing und HijackThis log für einen Abgleich.