hallo =)
ich hab ein problem mit nem adware lop. und zwar hat NORTON security scan das vor längerer zeit bei mir "gefunden", ich bin daraufhin in son forum und hab ne logfile von HijackThis gepostet. hab dann alles befolgt was die geschriebn haben. aber es muss wohl irgendwas schief gelaufen sein 8sidn auch ein paar meldungen gekommen, weiß jetz aber dummerweise nichtmehr was das war...)
Naja, adware LOP is ncoh da, aber angeblich kann man in de logfile nixmehr davon sehn und somit nicht nachvollziehn wo das ding steckt..oder so ihr wisst da ja besser bescheid... ich will das ding einfach weg haben!!!
ach, und heut is mir der lappi schon 2 mal abgekackt, und ein mal is er von ganz alleine runtergefahren...kp wieso. hat einfach alle anwendungen gecshlossen, von ganz alleine und is aus gegangen...GRUSELIG!
und er is iwie total langsam geworden, wenn cih ihn an mach muss ich erstmal ewig warten bis sich überhaupt iwas tut...bitte helft mir!
ich würd mir auch irgend nen teuren kram kaufem hauptsache das geht weg!
lg isabelle

Hallo und

1.) Poste ein HijackThis Logfile

2.) Malwarebytes Antimalware ausführen und Logfile posten

3.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

4.) Mach auch ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

aahhh, ok, danke erstmal fr die schnele antwort. es besteht also doch noch hoffnung! ihc mach mich dann mal dran! danke danke danke

OK ,
1.)

Logfile of Trend Micro HijackThis v2.0.2



[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]

ähm, ich konnte das 2te nicht downloaden ( also malwarebytes) wegen meinen sicherheits-zone-regeln... sry, aber ch hab echt keine ahnung was ich da ändern muss=( kenn mich garnicht aus!

Bitte nimm Dir mehr Zeit die Beiträge zu lesen, mit Combofix kann man seinen Rechner schnell schrotten wenn man da unüberlegt ranlegt.

Die Logfiles solltest Du mit Codetags schlossen posten!
Was Du mit den Zonen meinst weiß ich nicht. Mußt Du genauer beschreiben welches Programm Dir da was meldet.

oh ok, sry, bin so hibbelig wegen dem schrott...
ich hab das mit dem malwarebyts jetz hinbekommen, der scan läuft gerade.
und ich poste das dann einfach mit , ja?
tschuldigung wenn ich bisschen schwer von begriff bin...

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1049
Windows 6.0.6000 

20:58:46 13.08.2008
mbam-log-8-13-2008 (20-58-46).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 117237
Laufzeit: 1 hour(s), 29 minute(s), 7 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\System32\Macromed\Download\Install.exe (Rogue.Installer) -> Quarantined and deleted successfully.
         

[code]ComboFix 08-08-12.01 -*** 2008-08-13 21:26:41.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1031.18.310 [GMT 2:00]
ausgeführt von:: C:\Users\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-07-13 bis 2008-08-13 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-13 19:23 --------- d---a-w C:\ProgramData\TEMP
2008-08-13 19:23 --------- d-----w C:\ProgramData\Google Updater
2008-08-13 19:18 --------- d-----w C:\Users\***\AppData\Roaming\StarOffice8
2008-08-13 19:17 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-08-13 19:15 --------- d-----w C:\ProgramData\Spybot - Search & Destroy
2008-08-13 19:01 --------- d-----w C:\Program Files\CCleaner
2008-08-13 17:27 --------- d-----w C:\Users\***\AppData\Roaming\Malwarebytes
2008-08-13 17:27 --------- d-----w C:\ProgramData\Malwarebytes
2008-08-13 17:27 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-08-13 16:24 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-08-13 16:13 --------- d-----w C:\Program Files\Norton Security Scan
2008-08-13 16:05 --------- d-----w C:\Program Files\Windows Mail
2008-08-13 15:24 --------- d-----w C:\Program Files\Spyware Doctor
2008-08-13 15:05 13,166 ----a-w C:\Users\isabelle\AppData\Roaming\nvModes.dat
2008-08-02 01:31 --------- d-----w C:\Program Files\Google
2008-07-30 18:07 38,472 ----a-w C:\Windows\system32\drivers\mbamswissarmy.sys
2008-07-30 18:07 17,144 ----a-w C:\Windows\system32\drivers\mbam.sys
2008-07-18 18:39 587,776 ----a-w C:\Windows\WLXPGSS.SCR
2008-07-15 23:48 2,048 ----a-w C:\Windows\System32\tzres.dll
2008-07-10 17:02 174 --sha-w C:\Program Files\desktop.ini
2008-07-03 17:41 --------- d-----w C:\ProgramData\BALLCASTHOLD
2008-07-03 17:24 --------- d-----w C:\Program Files\Circle Developement
2008-06-26 13:23 --------- d-----w C:\Program Files\Trend Micro
2008-06-26 00:34 7,964,672 ----a-w C:\Windows\System32\NlsLexicons0024.dll
2008-06-26 00:33 9,892,864 ----a-w C:\Windows\System32\NlsLexicons000a.dll
2008-06-23 11:31 --------- d-----w C:\ProgramData\Lavasoft
2008-06-23 11:28 --------- d-----w C:\Program Files\Lavasoft
2008-06-23 11:23 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-06-19 03:25 61,440 ----a-w C:\Windows\System32\winipsec.dll
2008-06-19 03:25 361,984 ----a-w C:\Windows\System32\IPSECSVC.DLL
2008-06-19 03:25 28,672 ----a-w C:\Windows\System32\FwRemoteSvr.dll
2008-06-19 03:25 272,896 ----a-w C:\Windows\System32\polstore.dll
2008-06-13 20:20 --------- d-----w C:\Program Files\Trillian
2008-06-13 20:19 --------- d-----w C:\Program Files\DivX
2008-06-01 11:04 396,288 ----a-w C:\HijackThis.exe
2008-05-16 09:58 12,632 ----a-w C:\Windows\System32\lsdelete.exe
2008-04-29 16:45 56 ---ha-w C:\Users\All Users\ezsidmv.dat
2008-04-29 16:45 56 ---ha-w C:\ProgramData\ezsidmv.dat
2007-11-27 18:47 32 ----a-w C:\Users\All Users\ezsid.dat
2007-11-27 18:47 32 ----a-w C:\ProgramData\ezsid.dat
2007-07-01 09:31 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
2007-07-01 09:31 32,768 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
2007-07-01 09:31 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-09 19:02 1232896]
"Power2GoExpress"="C:\Program Files\CyberLink\Power2Go\Power2GoExpress.exe" [2006-12-05 20:29 2486272]
"MySpaceIM"="C:\Program Files\MySpace\IM\MySpaceIM.exe" [2007-12-07 09:33 8720384]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 14:36 201728]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-12-16 18:00 68856]
"EPSON Stylus DX7400 Series"="C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE" [2007-04-12 08:00 182272]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MGSysCtrl"="C:\Program Files\LG Software\System Control Manager\MGSysCtrl.exe" [2007-03-30 18:54 565248]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2007-01-12 06:36 827392]
"LG Intelligent Update"="C:\Program Files\lg_swupdate\giljabistart.exe" [2007-12-17 16:22 247088]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-04-28 19:05 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-04-28 19:05 8429568]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-04-28 19:05 81920]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"Google Desktop Search"="C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-04-24 17:33 29744]
"ISTray"="C:\Program Files\Spyware Doctor\pctsTray.exe" [2008-02-01 13:55 1103240]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 12:05 266497]
"RtHDVCpl"="RtHDVCpl.exe" [2007-02-15 17:07 4390912 C:\Windows\RtHDVCpl.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"MySpaceIM"="C:\Program Files\MySpace\IM\MySpaceIM.exe" [2007-12-07 09:33 8720384]

C:\Users\isabelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
StarOffice 8.lnk - C:\Program Files\Sun\StarOffice 8\program\quickstart.exe [2007-08-17 23:58:18 122880]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Google Updater.lnk - C:\Program Files\Google\Google Updater\GoogleUpdater.exe [2007-12-16 18:00:13 125624]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.clmp3enc"= C:\PROGRA~1\CYBERL~1\Power2Go\CLMP3Enc.ACM
"VIDC.YV12"= yv12vfw.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{9383B8DE-F596-4F7B-83BB-D5C15BC441DA}"= UDP:C:\Program Files\ICQ6\ICQ.exe:ICQ6
"{05AB3E48-57A0-4C9C-954B-9F4E326B49F7}"= TCP:C:\Program Files\ICQ6\ICQ.exe:ICQ6
"TCP Query User{06614A1D-6517-4E15-AB0B-0411C5102856}C:\\users\\isabelle\\desktop\\soulseek\\slsk.exe"= UDP:C:\users\isabelle\desktop\soulseek\slsk.exe:slsk.exe
"UDP Query User{CA8A34F2-BEA8-410A-B9D4-CCADAAC1717F}C:\\users\\isabelle\\desktop\\soulseek\\slsk.exe"= TCP:C:\users\isabelle\desktop\soulseek\slsk.exe:slsk.exe
"{8C377ED7-DB4E-414F-A333-AF545C640C7E}"= UDP:C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe:Yahoo! Messenger
"{A985286B-74DD-4272-8E78-7F337DF148E8}"= TCP:C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe:Yahoo! Messenger
"{6AEC4B91-2373-49A2-B616-E60AB51E72BE}"= UDP:C:\Program Files\Yahoo!\Messenger\YServer.exe:Yahoo! FT Server
"{CF438F89-3731-4308-8DE0-53F5A789BC3E}"= TCP:C:\Program Files\Yahoo!\Messenger\YServer.exe:Yahoo! FT Server
"{C43DD77B-A5C5-4972-A182-FE6CD663D878}"= Disabled:UDP:C:\Program Files\MySpace\IM\MySpaceIM.exe:MySpaceIM
"{EA0500E6-7EC1-4F64-93A1-EB4FB03ABFDF}"= Disabled:TCP:C:\Program Files\MySpace\IM\MySpaceIM.exe:MySpaceIM
"{2D5DB575-1776-4530-89C1-006D137F47D5}"= UDP:C:\Program Files\iTunes\iTunes.exe:iTunes
"{C4A7CDA0-434A-4906-9850-139FC41D09C2}"= TCP:C:\Program Files\iTunes\iTunes.exe:iTunes
"{9F06AAD5-6201-4B32-A9AF-DE3706F2F4B0}"= C:\Program Files\Skype\Phone\Skype.exe:Skype
"{224CAC95-DA7E-4B11-B9E2-ACA7BB264F9B}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R0 O2MDRDR;O2MDRDR;C:\Windows\system32\DRIVERS\o2media.sys [2006-11-20 15:14]
R0 O2SDRDR;O2SDRDR;C:\Windows\system32\DRIVERS\o2sd.sys [2007-03-09 14:01]
R2 NishService;Evil Driver Daemon;C:\Program Files\LG Software\System Control Manager\edd.exe [2006-03-02 16:43]
R3 MGHwCtrl;MGHwCtrl;C:\Windows\system32\drivers\MGHwCtrl.sys [2006-07-03 10:31]
S3 GoogleDesktopManager-022208-143751;Google Desktop Manager 5.7.802.22438;C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe [2008-04-24 17:33]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-07-18 C:\Windows\Tasks\Norton Security Scan.job
- C:\Program Files\Norton Security Scan\Nss.exe [2007-09-19 00:42]

2008-08-13 C:\Windows\Tasks\User_Feed_Synchronization-{5D7B1CA9-F1CF-498F-A086-7C5FBC85F67D}.job
- C:\Windows\system32\msfeedssync.exe [2006-11-02 11:45]
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Users\***AppData\Roaming\Mozilla\Firefox\Profiles\zs6nmj71.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF -: plugin - C:\Program Files\Google\Google Updater\2.2.1111.1511\npCIDetect11.dll
FF -: plugin - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-13 21:32:46
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...


C:\Users\***\AppData\Local\Temp\catchme.dll 53248 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-13 21:35:28
ComboFix-quarantined-files.txt 2008-08-13 19:35:13

Pre-Run: Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.
Post-Run: 15 Verzeichnis(se), 79,380,848,640 Bytes frei

149 --- E O F --- 2008-08-13 16:23:07

http://www.file-upload.net/download-1041598/listing8.cmd.html


ich hoff das war jetzt richtig so...wenn nicht tuts mir leid =(

Hallo,

Du solltest das Listing.cmd ausführen und nicht das script selbst nochmals hochladen und hier verlinken...

Außerdem solltest Du sorgfältiger beim Setzen der Codetags sein...es gibt hier auch ne Vorschaufunktion!!

Nimm Dir mehr Zeit fürs Lesen, sonst wird das nie was!