stetig popups bei den Browsern

Monokrom · 11.12.2008, 20:30

Hallo,

das Thema wurde hier wohl bereits desöfteren diskutiert, aber ich blicke irgendwie nicht ganz durch was dort geschrieben steht =(

Hab da irgendwie so ein Antispyware Virus, oder so, auf dem Rechner. Eine Zeit war mal der komplette Rechner davon befallen. Dann stand auch auf dem Desktop das ich Antispyware laden muß.
Das habe ich mit einer Anleitung von hier noch wegbekommen. Nun allerdings öffnen sich in Firefox und IE7 ständig Popups und alles ist recht langsam.

Bestimmt nervt es schon, aber ich bitte euch um Hilfe bei der Sache. Ich kann zwar ein Auto reparieren und einen Rechner bedienen, aber sowas ist mir dann doch wohl zu hoch :-S

Gruß Mario

Hier ist mal dieses HiJack Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:17:25, on 11.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Skype\Phone\Skype.exe
C:\dokumente und einstellungen\mario\lokale einstellungen\anwendungsdaten\yqaca.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Mario\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [yqaca] "c:\dokumente und einstellungen\mario\lokale einstellungen\anwendungsdaten\yqaca.exe" yqaca
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - C:\WINDOWS\system32\pr2ah4nc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 8735 bytes

undoreal · 14.12.2008, 11:27

Hi Mario!

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

c:\dokumente und einstellungen\mario\lokale einstellungen\anwendungsdaten\yqaca.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Fixe danach mit HJT folgende Einträge:

Zitat:

C:\dokumente und einstellungen\mario\lokale einstellungen\anwendungsdaten\yqaca.exe
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\Run: [yqaca] "c:\dokumente und einstellungen\mario\lokale einstellungen\anwendungsdaten\yqaca.exe" yqaca

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

Files to delete:
c:\dokumente und einstellungen\mario\lokale einstellungen\anwendungsdaten\yqaca.exe


Folders to delete:
C:\Programme\AskTBar

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Überprüfe den rechner danach mit SUPERAntiSpyware und Anti-Malware und poste die logs.

Update danach auf die aktuelle Kaspersky Version und führe damit einen komplett Scan durch.
Poste das log => http://www.trojaner-board.de/61465-a...ty-2009-a.html

Poste danach auch ein frisches HJT log.

Monokrom · 15.12.2008, 17:04

Da fängt es schon an. Habe nun die Anleitung befolgt um versteckte Dateien anzeigen zu lassen. Auch einen Neustart gemacht. Aber ich kann weder den angegebenen Pfad per Copy&Paste in die Leiste einfügen, noch kann ich die Datei per Suche finden o_O

undoreal · 15.12.2008, 20:04

Dann mach einfach weiter im Text..

Monokrom · 16.12.2008, 17:57

So, hier schonmal der Log von Avenger

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\dokumente und einstellungen\mario\lokale einstellungen\anwendungsdaten\yqaca.exe" deleted successfully.
Folder "C:\Programme\AskTBar" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Monokrom · 16.12.2008, 20:10

Nach einem scheinbar niemals endenden Scan nun auch dieses Log von SuperAntiSpyware

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 12/16/2008 at 07:58 PM

Application Version : 4.23.1006

Core Rules Database Version : 3676
Trace Rules Database Version: 1655

Scan type : Complete Scan
Total Scan Time : 01:51:43

Memory items scanned : 473
Memory threats detected : 0
Registry items scanned : 5096
Registry threats detected : 0
File items scanned : 145555
File threats detected : 72

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Mario\Cookies\mario@delivery.ads.coupling-media[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@adrevolver[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@ad.popup.tbn[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@statcounter[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@webmasterplan[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@atdmt[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@ads.evendi[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@a7.adserver01[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@2o7[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@adserver.kfz-auskunft[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@fastclick[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@zanox[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@adsrv.admediate[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@ads.net2day[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@ad.71i[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@imrworldwide[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@www.highfi-stats[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@rambler[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@ad.trackbar[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@ads.techniker-forum[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@advertising[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@hotlog[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@mediaplex[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@indextools[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@www.etracker[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@trafficmp[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@komtrack[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@zbox.zanox[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@ehg-nokiafin.hitbox[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@specificclick[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@de.sitestat[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@apmebf[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@tradedoubler[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@ads.planetactive[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@a6.adserver01[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@ad.zanox[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@nl.sitestat[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@tracking.11880[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@sevenoneintermedia.112.2o7[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@atwola[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@adserver.71i[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@bs.serving-sys[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@adtech[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@azjmp[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@rotator.adjuggler[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@serving-sys[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@ad.text.tbn[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@tracking.quisma[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@adserver.easyad[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@www.omediatrack[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@ad.httpool[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@bluestreak[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@ads.heias[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@de.sitestat[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@count.primawebtools[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@doubleclick[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@yadro[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@statse.webtrendslive[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@media.adrevolver[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@www.adserver.ka-city[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@ads.carpassion[2].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@ad.tbn[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@a2.adserver01[1].txt
C:\Dokumente und Einstellungen\Mario\Cookies\mario@hitbox[1].txt

Rogue.TotalSecure2009
C:\Dokumente und Einstellungen\Mario\Favoriten\Search Online.url
C:\Dokumente und Einstellungen\Mario\Favoriten\VIP Casino.url

Rogue.Multi/Component
C:\SYSTEM VOLUME INFORMATION\_RESTORE{38753C93-2416-4061-9DFE-112D9EBB3C62}\RP116\A0010486.DLL

Unclassified.Unknown Origin
H:\DATEIEN AUF D\PROGRAMME\MP3\NERO\KEYGEN-ORION\KEYGEN.EXE

Monokrom · 16.12.2008, 22:16

Nun noch das AntiMalware Log

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1243
Windows 5.1.2600 Service Pack 3

16.12.2008 22:14:18
mbam-log-2008-12-16 (22-14-18).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|H:\|)
Durchsuchte Objekte: 185673
Laufzeit: 2 hour(s), 1 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\eMule\LinkCreator.exe (Rogue.Fake!emule.exe) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{38753C93-2416-4061-9DFE-112D9EBB3C62}\RP119\A0011581.exe (Trojan.Agent) -> Quarantined and deleted successfully.

undoreal · 16.12.2008, 22:33

Nabend.

Zitat:

D\PROGRAMME\MP3\NERO\KEYGEN-ORION\KEYGEN.EXE

Zitat:

C:\Programme\eMule\LinkCreator.exe

wer sowas auf seiner Kiste ausführt kann sich auch gleich ein Nackfoto mit allen Maßen, Kontodaten, PINs und Passwörtern inkl. Geburtstag und Wohnort ins Netz stellen...

Mach den Rechner schnellstens platt, ändere alle Passwörter und Zugangsacc. und lass' in Zukunft die Finger von so einem Scheiß.

Falls du online Banking betreibst solltest du dringend deine Bank kontaktieren!

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Monokrom · 16.12.2008, 22:55

Hm, okay. Dessen war ich mir nicht bewusst.

Dann bleibt mir wohl nichts anderes über als den Rechner zu plätten. Aber wo ich das so sehe, Emule hab ich seit der letzten Neuinstallation, glaub ich, gar nicht wieder installiert. Zumindest nutze ich es nicht. Kann es denn sein das es irgendwie nicht zu entfernen geht? o_O

Den Nero Keygen hab ich unter Garantie nicht ausgeführt. Das kommt noch vom alten Rechner und wurd mitsamt anderen Sachen rübergeschoben.

Reicht es denn nicht die ganzen Sachen einfach irgendwie zu entfernen?

undoreal · 16.12.2008, 23:36

Zitat:

Kann es denn sein das es irgendwie nicht zu entfernen geht?

Zitat:

Das kommt noch vom alten Rechner und wurd mitsamt anderen Sachen rübergeschoben.

Dann hast du damals nicht richtig formatiert. Tue dies nach unten stehender Anleitung und der Rechner ist hinterher definitiv sauber!

Zitat:

Reicht es denn nicht die ganzen Sachen einfach irgendwie zu entfernen?

Leider nein. Hast du dir den Link über die technische Kompromitierung durchgelesen?
Solche Programme erlauben dem Angreifer vollen Zugriff auf dein System. Sowas nennt man dann Backdoor/Hintertür die einen PC bloßstellt.
Hinterher kann niemand mehr sagen was der Angreifer/RemoteAdmin alles verändert hat damit er, auch nach Enfernung der schädlichen Dateien, jederzeit wieder unbemerkt in's System eindringen kann.

Monokrom · 17.12.2008, 06:42

Okay, dann werde ich das mal machen. Ist wohl das Beste.

Ich danke Dir für deine Hilfe =)

Gruß Mario

15.12.2008, 20:04	#4
undoreal /// AVZ-Toolkit Guru	stetig popups bei den Browsern Dann mach einfach weiter im Text.. __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

stetig popups bei den Browsern

Log-Analyse und Auswertung: stetig popups bei den Browsern