|
Log-Analyse und Auswertung: Pop UpsWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
07.08.2008, 17:51 | #1 |
| Pop Ups Einen schönen Guten Abend zusammen, könnte mir jemand bei der auswertung eines HijackThis Logs helfen? Auf meinem PC öffnen sich sporadisch immer wieder PopUps mit Werbung, auch wenn ich den IE oder Firefox gar nicht offen habe. Hier das Log: ---------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:46:37, on 07.08.2008 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe C:\WINNT\system32\svchost.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe C:\Programme\RDPLB\RDPLBNPService.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\WINNT\system32\internat.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\WINNT\system32\gO8w1qc2.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.kwick.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 195.95.221.2:3128 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: solution Class - {99C6D1BB-7555-474C-91DA-D8FB62A9CC75} - C:\WINNT\system32\G8aWhQCh.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /wait O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1115661101984 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab O23 - Service: AVP Control Centre Service (AVPCC) - Kaspersky Labs. - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: KAV Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe O23 - Service: RDPLBNP - Unknown owner - C:\Programme\RDPLB\RDPLBNPService.exe -- End of file - 4624 bytes -------------------------- Vielen Dank im Voraus! :-) |
07.08.2008, 18:16 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Pop Ups Hallo
__________________Zitat:
Code:
ATTFilter C:\WINNT\system32\gO8w1qc2.exe C:\WINNT\system32\G8aWhQCh.dll Ist Dein Kaspersky schon fündig geworden? Wenn ja von dem das Logfile posten mit den relevanten Infos. Mach danach mal einen Durchlauf mit ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
__________________ |
11.08.2008, 06:32 | #3 |
| Pop Ups Hier das Log von ComboFix:
__________________---------------------------- ComboFix 08-08-10.02 - Administrator 11.08.2008 7:22:40.1 - NTFSx86 Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.96 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\bold.log C:\Programme\Hotbar C:\WINNT\Downloaded Program Files\HbInstIE.dll C:\WINNT\Downloaded Program Files\UWA6PU_0001_N91M2107NetInstaller.exe C:\WINNT\Web\default.htt . ((((((((((((((((((((((( Dateien erstellt von 2008-07-11 bis 2008-08-11 )))))))))))))))))))))))))))))) . 2008-08-11 07:22 . 08-08-11 07:22 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_28c.dat 2008-08-11 07:05 . 08-08-11 07:05 <DIR> d-------- C:\Dokumente und Einstellungen\Default User.WINNT\Anwendungsdaten\AdobeUM 2008-08-08 19:06 . 08-08-08 19:06 276,806 ---h----- C:\WINNT\ShellIconCache 2008-08-08 16:13 . 08-08-08 16:13 80,384 --a------ C:\WINNT\system32\gO8w1qc2.exe 2008-08-08 16:13 . 08-08-08 16:13 0 --a------ C:\WINNT\system32\gO8w1qc2.exe.a_a 2008-08-07 18:41 . 08-08-07 18:41 <DIR> d-------- C:\Programme\Trend Micro 2008-08-04 12:41 . 08-08-04 12:41 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_508.dat 2008-07-23 08:40 . 08-07-23 08:40 <DIR> d-------- C:\WINNT\system32\Windows Media 2008-07-23 08:39 . 08-07-23 08:39 <DIR> d-------- C:\WINNT\msiinst.tmp 2008-07-23 08:39 . 08-07-23 08:40 <DIR> d--h-c--- C:\WINNT\$NtUpdateRollupPackUninstall$ 2008-07-23 08:38 . 08-07-23 08:38 <DIR> d-------- C:\Programme\Common Files 2008-07-23 08:37 . 08-07-23 08:37 <DIR> d--h-c--- C:\WINNT\$SQLUninstallMDAC28-KB927779-x86-DEU$ 2008-07-23 08:37 . 05-06-28 09:21 22,752 --a------ C:\WINNT\system32\spupdsvc.exe 2008-07-23 08:31 . 08-08-11 07:05 <DIR> d-------- C:\Dokumente und Einstellungen\Default User.WINNT\Anwendungsdaten 2008-07-23 08:31 . 08-07-23 08:31 957 --a------ C:\WINNT\setup.inf 2008-07-23 08:31 . 08-07-23 08:31 283 --a------ C:\WINNT\setup.rpt 2008-07-22 07:14 . 02-08-29 09:32 51,200 -----c--- C:\WINNT\system32\dllcache\msxml3r.dll 2008-07-21 15:19 . 08-07-21 15:19 29,760 --a------ C:\WINNT\system32\03raguqg.exe 2008-07-21 15:19 . 08-07-21 15:19 0 --a------ C:\WINNT\system32\03raguqg.exe.a_a 2008-07-18 21:51 . 07-07-30 19:18 34,136 --a------ C:\WINNT\system32\wucltui.dll.mui 2008-07-18 21:51 . 07-07-30 19:20 30,040 --a------ C:\WINNT\system32\wuaucpl.cpl.mui 2008-07-18 21:51 . 07-07-30 19:20 30,040 --a------ C:\WINNT\system32\wuapi.dll.mui 2008-07-18 21:51 . 07-07-30 19:18 20,824 --a------ C:\WINNT\system32\wuaueng.dll.mui 2008-07-15 07:00 . 08-07-15 07:00 <DIR> d-------- C:\Dokumente und Einstellungen\Default User.WINNT\Favoriten 2008-07-14 10:07 . 08-07-14 10:06 30,272 --a------ C:\WINNT\system32\K2npvc8w.exe 2008-07-14 10:07 . 08-07-14 10:07 0 --a------ C:\WINNT\system32\K2npvc8w.exe.a_a . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-07 16:43 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3 2008-06-25 09:41 66,832 ----a-w C:\WINNT\system32\mswsock.dll 2008-06-25 09:41 105,744 ----a-w C:\WINNT\system32\msafd.dll 2008-06-18 10:05 320,528 ----a-w C:\WINNT\system32\drivers\tcpip.sys 2005-05-09 13:02 271 ---h--w C:\Programme\desktop.ini 2005-05-09 13:02 22,080 ---h--w C:\Programme\folder.htt 2003-06-20 12:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [07-06-14 08:02 68856] "internat.exe"="internat.exe" [03-06-20 14:00 20752 C:\WINNT\system32\internat.exe] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AVPCC"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" [03-09-08 13:53 479296] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [07-03-14 03:43 83608] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [06-03-28 13:56 77824] "Synchronization Manager"="mobsync.exe" [03-06-20 14:00 112400 C:\WINNT\system32\mobsync.exe] "VTTimer"="VTTimer.exe" [03-05-07 10:32 36864 C:\WINNT\system32\VTTimer.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "internat.exe"="internat.exe" [03-06-20 14:00 20752 C:\WINNT\system32\internat.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-20 14:00 189712] "FlashPlayerUpdate"="C:\WINNT\system32\Macromed\Flash\FlashUtil9e.exe" [07-11-21 02:04 218496] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux"= mmdrv.dll *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . Inhalt des "geplante Tasks" Ordners 2008-08-11 C:\WINNT\Tasks\A496F27491816CD4.job - c:\dokume~1\admini~1\anwend~1\trayme~1\16peakweb.exe [] . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-Cmaudio - cmicnfg.cpl . ------- Zusätzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\jz7g1t6r.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.kwick.de/ ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-11 07:26:52 Windows 5.0.2195 Service Pack 4 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-08-11 7:28:33 ComboFix-quarantined-files.txt 2008-08-11 05:28:26 Pre-Run: 7,841,112,064 Bytes frei Post-Run: 8,144,605,184 Bytes frei 102 --- E O F --- 2008-07-25 05:25:20 |
11.08.2008, 06:35 | #4 |
| Pop Ups Mein zweiter Beitrag vom 07.08. ist ein LogFile eines anderen PCs, wie im ersten Satz des Eintrages beschrieben, mit welchem ich auch Probleme habe. Deswegen auch ein zweites Posting. Kann man den sich auch noch anschauen oder soll der dann hier rein, obwohl es ein anderer PC ist und das Problem sich anders äußert? |
12.08.2008, 05:56 | #5 |
| Pop Ups Hallo, kann mir jemand nochmal weiterhelfen. Es treten leider immer noch PopUps auf. Vielen Dank im voraus. Krabbler |
12.08.2008, 20:23 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Pop Ups (1) Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code:
ATTFilter files to delete: C:\WINNT\system32\gO8w1qc2.exe C:\WINNT\system32\gO8w1qc2.exe.a_a C:\WINNT\system32\03raguqg.exe C:\WINNT\system32\03raguqg.exe.a_a C:\WINNT\system32\K2npvc8w.exe C:\WINNT\system32\K2npvc8w.exe.a_a
(2) Mach ein Filelisting mit diesem script:
__________________ --> Pop Ups |
15.08.2008, 07:06 | #7 |
| Pop Ups Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows 2000 ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\WINNT\system32\gO8w1qc2.exe" deleted successfully. File "C:\WINNT\system32\gO8w1qc2.exe.a_a" deleted successfully. File "C:\WINNT\system32\03raguqg.exe" deleted successfully. File "C:\WINNT\system32\03raguqg.exe.a_a" deleted successfully. File "C:\WINNT\system32\K2npvc8w.exe" deleted successfully. File "C:\WINNT\system32\K2npvc8w.exe.a_a" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
15.08.2008, 07:24 | #8 |
| Pop Ups |
15.08.2008, 20:01 | #9 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Pop Ups Ok, mach mal bitte einen Durchlauf mit Malwarebytes Antimalware. Ich hab in Deinem Programme-Ordner da einige unschöne Sachen wie NetPumper etc. gesehen. Aber erstmal möchte ich wissen, was Malwarebytes da noch aufdeckt.
__________________ Logfiles bitte immer in CODE-Tags posten |
19.08.2008, 09:06 | #10 |
| Pop Ups Malwarebytes' Anti-Malware 1.25 Datenbank Version: 1070 Windows 5.0.2195 Service Pack 4 10:08:22 19.08.2008 mbam-log-08-19-2008 (10-08-22).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 48755 Laufzeit: 21 minute(s), 32 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 5 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\solution.solution (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\solution.solution.1 (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{892b2785-b0d0-4aa2-ae6a-0ed60b00a979} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\{00476c87-a276-49bf-86bc-ff005732430b} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8109fd3d-d891-4f80-8339-50a4913ace6f} (Adware.Zango) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\QooBox\Quarantine\C\WINNT\Downloaded Program Files\UWA6PU_0001_N91M2107NetInstaller.exe.vir (Rogue.Installer) -> Quarantined and deleted successfully. |
19.08.2008, 09:39 | #11 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Pop UpsZitat:
Code:
ATTFilter C:\Programme\WinZix C:\Programme\NetPumper Mach bitte ein neues Listing und HijackThis log für einen Abgleich.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Pop Ups |
1.exe, adobe, auswertung, bho, explorer, firefox, google, helfen, hijack, hijackthis, immer wieder, internet, internet explorer, kaspersky, micro, microsoft, monitor, object, pop ups, popups, programme, rundll, rundll32, software, solution, system, torrent.exe, ups, werbung, windows |