Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: stetig popups bei den Browsern

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 11.12.2008, 20:30   #1
Monokrom
 
stetig popups bei den Browsern - Standard

stetig popups bei den Browsern



Hallo,

das Thema wurde hier wohl bereits desöfteren diskutiert, aber ich blicke irgendwie nicht ganz durch was dort geschrieben steht =(

Hab da irgendwie so ein Antispyware Virus, oder so, auf dem Rechner. Eine Zeit war mal der komplette Rechner davon befallen. Dann stand auch auf dem Desktop das ich Antispyware laden muß.
Das habe ich mit einer Anleitung von hier noch wegbekommen. Nun allerdings öffnen sich in Firefox und IE7 ständig Popups und alles ist recht langsam.

Bestimmt nervt es schon, aber ich bitte euch um Hilfe bei der Sache. Ich kann zwar ein Auto reparieren und einen Rechner bedienen, aber sowas ist mir dann doch wohl zu hoch :-S

Gruß Mario



Hier ist mal dieses HiJack Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:17:25, on 11.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Skype\Phone\Skype.exe
C:\dokumente und einstellungen\mario\lokale einstellungen\anwendungsdaten\yqaca.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Mario\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [yqaca] "c:\dokumente und einstellungen\mario\lokale einstellungen\anwendungsdaten\yqaca.exe" yqaca
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - C:\WINDOWS\system32\pr2ah4nc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 8735 bytes

Alt 14.12.2008, 11:27   #2
undoreal
/// AVZ-Toolkit Guru
 
stetig popups bei den Browsern - Standard

stetig popups bei den Browsern



Hi Mario!


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:
c:\dokumente und einstellungen\mario\lokale einstellungen\anwendungsdaten\yqaca.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.


Fixe danach mit HJT folgende Einträge:
Zitat:
C:\dokumente und einstellungen\mario\lokale einstellungen\anwendungsdaten\yqaca.exe
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\Run: [yqaca] "c:\dokumente und einstellungen\mario\lokale einstellungen\anwendungsdaten\yqaca.exe" yqaca
Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Files to delete:
c:\dokumente und einstellungen\mario\lokale einstellungen\anwendungsdaten\yqaca.exe


Folders to delete:
C:\Programme\AskTBar
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Überprüfe den rechner danach mit SUPERAntiSpyware und Anti-Malware und poste die logs.

Update danach auf die aktuelle Kaspersky Version und führe damit einen komplett Scan durch.
Poste das log => http://www.trojaner-board.de/61465-a...ty-2009-a.html

Poste danach auch ein frisches HJT log.
__________________

__________________

Alt 15.12.2008, 17:04   #3
Monokrom
 
stetig popups bei den Browsern - Standard

stetig popups bei den Browsern



Da fängt es schon an. Habe nun die Anleitung befolgt um versteckte Dateien anzeigen zu lassen. Auch einen Neustart gemacht. Aber ich kann weder den angegebenen Pfad per Copy&Paste in die Leiste einfügen, noch kann ich die Datei per Suche finden o_O
__________________

Alt 15.12.2008, 20:04   #4
undoreal
/// AVZ-Toolkit Guru
 
stetig popups bei den Browsern - Standard

stetig popups bei den Browsern



Dann mach einfach weiter im Text..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 16.12.2008, 17:57   #5
Monokrom
 
stetig popups bei den Browsern - Standard

stetig popups bei den Browsern



So, hier schonmal der Log von Avenger


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\dokumente und einstellungen\mario\lokale einstellungen\anwendungsdaten\yqaca.exe" deleted successfully.
Folder "C:\Programme\AskTBar" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Alt 16.12.2008, 20:10   #6
Monokrom
 
stetig popups bei den Browsern - Standard

stetig popups bei den Browsern



Nach einem scheinbar niemals endenden Scan nun auch dieses Log von SuperAntiSpyware

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 12/16/2008 at 07:58 PM

Application Version : 4.23.1006

Core Rules Database Version : 3676
Trace Rules Database Version: 1655

Scan type : Complete Scan
Total Scan Time : 01:51:43

Memory items scanned : 473
Memory threats detected : 0
Registry items scanned : 5096
Registry threats detected : 0
File items scanned : 145555
File threats detected : 72

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Mario\Cookies\mario@delivery.ads.coupling-media[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@adrevolver[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@ad.popup.tbn[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@statcounter[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@webmasterplan[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@atdmt[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@ads.evendi[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@a7.adserver01[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@2o7[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@adserver.kfz-auskunft[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@fastclick[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@zanox[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@adsrv.admediate[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@ads.net2day[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@ad.71i[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@imrworldwide[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@www.highfi-stats[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@rambler[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@ad.trackbar[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@ads.techniker-forum[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@advertising[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@hotlog[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@mediaplex[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@indextools[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@www.etracker[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@trafficmp[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@komtrack[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@zbox.zanox[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@ehg-nokiafin.hitbox[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@specificclick[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@de.sitestat[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@apmebf[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@tradedoubler[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@ads.planetactive[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@a6.adserver01[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@ad.zanox[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@nl.sitestat[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@tracking.11880[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@sevenoneintermedia.112.2o7[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@atwola[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@adserver.71i[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@bs.serving-sys[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@adtech[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@azjmp[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@rotator.adjuggler[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@serving-sys[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@ad.text.tbn[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@tracking.quisma[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@adserver.easyad[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@www.omediatrack[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@ad.httpool[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@bluestreak[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@ads.heias[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@de.sitestat[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@count.primawebtools[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@doubleclick[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@yadro[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@statse.webtrendslive[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@media.adrevolver[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@www.adserver.ka-city[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@ads.carpassion[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@ad.tbn[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@a2.adserver01[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@hitbox[1].txt

Rogue.TotalSecure2009
C:\Dokumente und Einstellungen\Mario\Favoriten\Search Online.url
C:\Dokumente und Einstellungen\Mario\Favoriten\VIP Casino.url

Rogue.Multi/Component
C:\SYSTEM VOLUME INFORMATION\_RESTORE{38753C93-2416-4061-9DFE-112D9EBB3C62}\RP116\A0010486.DLL

Unclassified.Unknown Origin
H:\DATEIEN AUF D\PROGRAMME\MP3\NERO\KEYGEN-ORION\KEYGEN.EXE

Alt 16.12.2008, 22:16   #7
Monokrom
 
stetig popups bei den Browsern - Standard

stetig popups bei den Browsern



Nun noch das AntiMalware Log


Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1243
Windows 5.1.2600 Service Pack 3

16.12.2008 22:14:18
mbam-log-2008-12-16 (22-14-18).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|H:\|)
Durchsuchte Objekte: 185673
Laufzeit: 2 hour(s), 1 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\eMule\LinkCreator.exe (Rogue.Fake!emule.exe) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{38753C93-2416-4061-9DFE-112D9EBB3C62}\RP119\A0011581.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Alt 16.12.2008, 22:33   #8
undoreal
/// AVZ-Toolkit Guru
 
stetig popups bei den Browsern - Standard

stetig popups bei den Browsern



Nabend.

Zitat:
D\PROGRAMME\MP3\NERO\KEYGEN-ORION\KEYGEN.EXE
Zitat:
C:\Programme\eMule\LinkCreator.exe
wer sowas auf seiner Kiste ausführt kann sich auch gleich ein Nackfoto mit allen Maßen, Kontodaten, PINs und Passwörtern inkl. Geburtstag und Wohnort ins Netz stellen...

Mach den Rechner schnellstens platt, ändere alle Passwörter und Zugangsacc. und lass' in Zukunft die Finger von so einem Scheiß.

Falls du online Banking betreibst solltest du dringend deine Bank kontaktieren!

Bereinigung nach einer Kompromitierung


Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck
Zitat:
MBR rootkit code detected !
indiziert, musst du eine Bereinigung vornehmen.
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!
Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!
Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 16.12.2008, 22:55   #9
Monokrom
 
stetig popups bei den Browsern - Standard

stetig popups bei den Browsern



Hm, okay. Dessen war ich mir nicht bewusst.

Dann bleibt mir wohl nichts anderes über als den Rechner zu plätten. Aber wo ich das so sehe, Emule hab ich seit der letzten Neuinstallation, glaub ich, gar nicht wieder installiert. Zumindest nutze ich es nicht. Kann es denn sein das es irgendwie nicht zu entfernen geht? o_O

Den Nero Keygen hab ich unter Garantie nicht ausgeführt. Das kommt noch vom alten Rechner und wurd mitsamt anderen Sachen rübergeschoben.

Reicht es denn nicht die ganzen Sachen einfach irgendwie zu entfernen?

Alt 16.12.2008, 23:36   #10
undoreal
/// AVZ-Toolkit Guru
 
stetig popups bei den Browsern - Standard

stetig popups bei den Browsern



Zitat:
Kann es denn sein das es irgendwie nicht zu entfernen geht?
Zitat:
Das kommt noch vom alten Rechner und wurd mitsamt anderen Sachen rübergeschoben.
Dann hast du damals nicht richtig formatiert. Tue dies nach unten stehender Anleitung und der Rechner ist hinterher definitiv sauber!

Zitat:
Reicht es denn nicht die ganzen Sachen einfach irgendwie zu entfernen?
Leider nein. Hast du dir den Link über die technische Kompromitierung durchgelesen?
Solche Programme erlauben dem Angreifer vollen Zugriff auf dein System. Sowas nennt man dann Backdoor/Hintertür die einen PC bloßstellt.
Hinterher kann niemand mehr sagen was der Angreifer/RemoteAdmin alles verändert hat damit er, auch nach Enfernung der schädlichen Dateien, jederzeit wieder unbemerkt in's System eindringen kann.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 17.12.2008, 06:42   #11
Monokrom
 
stetig popups bei den Browsern - Standard

stetig popups bei den Browsern



Okay, dann werde ich das mal machen. Ist wohl das Beste.

Ich danke Dir für deine Hilfe =)


Gruß Mario

Antwort

Themen zu stetig popups bei den Browsern
adobe, antispyware, ask toolbar, bho, browser, canon, desktop, einstellungen, excel, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, internet security, kaspersky, logfile, mozilla, plug-in, pop-up-blocker, popups, rundll, security, software, system, virus, windows, windows xp, windows xp sp3, xp sp3




Ähnliche Themen: stetig popups bei den Browsern


  1. Die Prozessorauslastung steigt nach dem boot stetig auf 100%. Mein Datenträger c wird voller
    Log-Analyse und Auswertung - 23.04.2015 (8)
  2. Vermutlicher Virus / Trojaner / Malware, langsames System, Popups in div. Browsern
    Plagegeister aller Art und deren Bekämpfung - 06.12.2014 (19)
  3. Monitor ändert stetig seine Skalierung
    Netzwerk und Hardware - 20.09.2014 (3)
  4. Adds und Pop-Ups in Browsern und Steam
    Plagegeister aller Art und deren Bekämpfung - 26.05.2014 (17)
  5. Win XP-mein Pc ist stetig nur am arbeiten
    Plagegeister aller Art und deren Bekämpfung - 10.03.2014 (6)
  6. System (Win7) reagiert stetig langsamer & fehlerhafter
    Log-Analyse und Auswertung - 07.03.2014 (19)
  7. Windows 7: Werbung und Popups im Firefox, unterstrichene Wörter mit PopUps bei Mouse-Over EXP/JAVA.Rafold.A.Gen
    Log-Analyse und Auswertung - 03.02.2014 (5)
  8. Windows XP nach Schädlingsbefall /system und Prgramme stetig langsamer
    Log-Analyse und Auswertung - 07.08.2013 (10)
  9. PopUps in allen Browsern (IE&FF) und Werbung auf Websites, die nicht daher stammt
    Log-Analyse und Auswertung - 22.05.2013 (31)
  10. CPU Auslastung stetig bei 100%
    Plagegeister aller Art und deren Bekämpfung - 07.01.2013 (20)
  11. [Win 7 Pro 64-bit] PC wird stetig langsamer
    Log-Analyse und Auswertung - 12.11.2011 (1)
  12. Unerwünschte Popups in allen Browsern
    Mülltonne - 06.01.2009 (0)
  13. Probleme mit dem Internet/den Browsern
    Log-Analyse und Auswertung - 14.10.2008 (7)
  14. Probleme mit Browsern
    Plagegeister aller Art und deren Bekämpfung - 01.08.2008 (0)
  15. ad.firstsolution popups +andere Popups+ langsamer seitenaufbau
    Log-Analyse und Auswertung - 28.11.2006 (14)
  16. Browser spinnt - Öffnet sich automatisch mit Popups und Swf Popups
    Log-Analyse und Auswertung - 03.03.2006 (6)
  17. BSI rät zu anderen Browsern
    Alles rund um Windows - 12.09.2004 (1)

Zum Thema stetig popups bei den Browsern - Hallo, das Thema wurde hier wohl bereits desöfteren diskutiert, aber ich blicke irgendwie nicht ganz durch was dort geschrieben steht =( Hab da irgendwie so ein Antispyware Virus, oder so, - stetig popups bei den Browsern...
Archiv
Du betrachtest: stetig popups bei den Browsern auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.