Guten Morgen,

habe alles wie beschrieben gemacht. Beim HijackThis war allerdings diese komische Datei nicht mehr dabei. Wieso nicht? Aber wie dem auch sei, hier der Bericht von Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: file "c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\qbewzdg.exe" not found!
Deletion of file "c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\qbewzdg.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate.

Ich weiß nicht, ob das Problem wirklich gelöst ist, denn eben tauchte wieder ein Werbefenster auf.

Was mache ich jetzt am besten?

Danke und einen schönen Sonntag von
Vunana

hmm nochmal von vorne anfangen? xD HijackThis Log posten und vll nochmal Maleware anti maleware drüber laufen lassen, ansonsten gibts noch bissel agressivere möglichkeiten^^.

Poste aber bitte erstmal die neue HijackThis log.

Okay, dann also noch einmal. Habe das Anti-Malware auch nochmal laufen lassen, hat aber nichts ergeben.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:15:33, on 21.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\COMODO\Firewall\cmdagent.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\T-Com\T-DSLS~1\SMARTB~1\Smartbridge.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\COMODO\Firewall\cfp.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\TomTom HOME 2\HOMERunner.exe
C:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\eywiw.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\T-Com\T-DSL Support Center\bin\TDSLSupportCenter.exe
C:\Programme\T-Com\T-DSL Support Center\bin\mpbtn.exe
C:\PROGRA~1\Motive\ASSTCO~1\MOTIVE~1.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ImageShack Toolbar - {6932D140-ABC4-4073-A44C-D4A541665E35} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\T-Com\T-DSLS~1\SMARTB~1\Smartbridge.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [NBJ] "C:\PROGRA~1\Ahead\NEROBA~1\NBJ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [eywiw] "c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\eywiw.exe" eywiw
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: T-DSL Support Center.lnk = C:\Programme\T-Com\T-DSL Support Center\bin\matcli.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Post Image to Blog - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5003
O8 - Extra context menu item: Tag This Image - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5002
O8 - Extra context menu item: Upload All Images to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5000
O8 - Extra context menu item: Upload Image to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5001
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {1E5BE467-472C-44A8-ABE9-DAF0BF5F7548} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {1E5BE467-472C-44A8-ABE9-DAF0BF5F7548} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O15 - Trusted Zone: h**p://toolbar.imageshack.us
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - h**p://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {6932D140-ABC4-4073-A44C-D4A541665E35} (ImageShack Toolbar) - h**p://toolbar.imageshack.us/toolbar/ImageShackToolbar.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**s://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\Firewall\cmdagent.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

--
End of file - 10772 bytes

Und wie sieht das jetzt aus?

LG
Vunana

Hallo,
habe die Datei mit Incredimail auch über Avenger gelöscht. Dieses Programm hatte ich mal installiert und dann wieder deinstalliert. Aber anscheinend nicht richtig!
War dieser Schritt des Löschens richtig? Ich hoffe sehr!

LG
Vunana

Hallo liebe Profis!

Könnt Ihr mir sagen, was ich nun machen soll? Ich denke, mein PC ist jetzt ziemlich sauber, aber die Werbeseiten erscheinen immer noch. Allerdings glaube ich nur beim Firefox, nicht beim IE. Woran liegt das?

Danke für Eure Hilfe!

Vunana

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code: Alles auswählenAufklappen

ATTFilter

c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\eywiw.exe
         

ciao, andreas

Hallo Andreas,

Danke für die schnelle Antwort. Leider verstehe ich das nicht alles, da ich in diesen Dingen nicht ganz so fit bin wie Du!

Soll ich nur diese eine Datei von virustotal auswerten lassen? Und soll ich noch andere Scanner laufen lassen, weil Du sagst, einzelne Virenscanner sollen sichtbar sein.

Bitte nochmals um kurze Hilfe!!

KG
Vunana

Zitat:

Soll ich nur diese eine Datei von virustotal auswerten lassen?

Zitat:

Und soll ich noch andere Scanner laufen lassen, weil Du sagst, einzelne Virenscanner sollen sichtbar sein.

Nein. Du sollst nur alles kopieren, sobald der Scan bei Virustotal fertig ist. Wenn du es richtig machst, sollte es so ähnlich aussehen, wie hier: http://www.trojaner-board.de/66979-d...tml#post400221

ciao, andreas

Hi Andreas,
hoffe, daß es jetzt richtig ist.

Datei eywiw.exe empfangen 2008.12.22 21:12:06 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/38 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 38 und 55 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.22.0 2008.12.22 -
AntiVir 7.9.0.45 2008.12.22 -
Authentium 5.1.0.4 2008.12.22 -
Avast 4.8.1281.0 2008.12.21 -
AVG 8.0.0.199 2008.12.22 -
BitDefender 7.2 2008.12.22 -
CAT-QuickHeal 10.00 2008.12.22 -
ClamAV 0.94.1 2008.12.22 -
Comodo 800 2008.12.22 -
DrWeb 4.44.0.09170 2008.12.22 -
eSafe 7.0.17.0 2008.12.21 -
eTrust-Vet 31.6.6271 2008.12.20 -
Ewido 4.0 2008.12.22 -
F-Prot 4.4.4.56 2008.12.22 -
F-Secure 8.0.14332.0 2008.12.22 -
Fortinet 3.117.0.0 2008.12.22 -
GData 19 2008.12.22 -
Ikarus T3.1.1.45.0 2008.12.22 -
K7AntiVirus 7.10.562 2008.12.22 -
Kaspersky 7.0.0.125 2008.12.22 -
McAfee 5472 2008.12.22 -
McAfee+Artemis 5472 2008.12.22 -
Microsoft 1.4205 2008.12.22 -
NOD32 3711 2008.12.22 -
Norman 5.80.02 2008.12.22 -
Panda 9.0.0.4 2008.12.22 -
PCTools 4.4.2.0 2008.12.22 -
Prevx1 V2 2008.12.22 -
Rising 21.09.02.00 2008.12.22 -
SecureWeb-Gateway 6.7.6 2008.12.22 -
Sophos 4.37.0 2008.12.22 -
Sunbelt 3.2.1809.2 2008.12.22 -
Symantec 10 2008.12.22 -
TheHacker 6.3.1.4.195 2008.12.20 -
TrendMicro 8.700.0.1004 2008.12.22 -
VBA32 3.12.8.10 2008.12.22 -
ViRobot 2008.12.22.1530 2008.12.22 -
VirusBuster 4.5.11.0 2008.12.22 -
weitere Informationen
File size: 307200 bytes
MD5...: 881ff2c4c0febf70275761df4a7d8d22
SHA1..: 6bb3b9bd348086a4f39b55676af7c817367f6a5f
SHA256: 1fa93545433eb52050ecf32d8e9274c9b63d14dd7afe85039e81f851e27e7c5a
SHA512: 9125bb3a31c39f4ba91e4baa2ba660fae14973b3e6bf2892895ec3befc4281f1
5eedf531db8a73ad4686b57f35890ddcaae42ae79d7453d84247531dd295b069
ssdeep: 6144:c652WohRhF2HmH09VhPToAOgB+wzKykBbgK1Ki3AKOVDwfgbP/rv:1YTYHm
UzhkAftKYXZD4g/
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x431a80
timedatestamp.....: 0x48513830 (Thu Jun 12 14:52:32 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x30c0c 0x31000 7.45 ce351a11fb6d1481d5b318638cff7837
.rdata 0x32000 0xffe 0x1000 5.52 4deb52b00993f55de88280124844a821
.data 0x33000 0x177ec 0x18000 5.57 2e447376a74ecfa0e42d7922353b3c76

( 9 imports )
> OLEAUT32.dll: -, -
> SHELL32.dll: SHChangeNotify, SHBrowseForFolderA, SHGetSpecialFolderLocation, SHGetSpecialFolderPathW, DragQueryPoint
> GDI32.dll: SetTextColor, InvertRgn, GetTextFaceA, CreateSolidBrush, TranslateCharsetInfo, GetRgnBox, AddFontResourceA, CreateMetaFileA, CombineRgn, GetObjectType, SetLayout, CreateFontW, GetPolyFillMode
> COMCTL32.dll: ImageList_AddMasked
> ole32.dll: OleBuildVersion, StringFromGUID2
> KERNEL32.dll: VirtualUnlock, GetTapeParameters, VirtualAlloc, lstrlenA, ReadFileScatter, GetACP, GetProfileStringA, ExitThread, SetVolumeLabelA, GetStartupInfoA, TryEnterCriticalSection, SetLastError, LocalAlloc, LeaveCriticalSection, FreeResource, CreateDirectoryA, SetMailslotInfo, RemoveDirectoryW, SetFileAttributesA, FindNextChangeNotification, CreateMutexW, lstrcatW, FormatMessageA, SizeofResource, EnumResourceLanguagesW, GetCommandLineW, GetWindowsDirectoryA, GetCurrentDirectoryW, LoadResource, MultiByteToWideChar, SystemTimeToFileTime, PulseEvent, OpenMutexA, CompareStringA, SetStdHandle, SetFileTime, SetEnvironmentVariableA, ExpandEnvironmentStringsW, GetProcessTimes, SetConsoleMode, CreateWaitableTimerA, WritePrivateProfileSectionW, LoadLibraryExA, SuspendThread, CreateMutexA, ClearCommBreak, EraseTape, GlobalFlags, SetThreadAffinityMask, GetLocaleInfoW, SetConsoleCursorPosition, IsValidLocale, GetModuleHandleA, SetupComm, lstrcmpiW, CompareStringW, GetSystemInfo, GetHandleInformation, LocalLock, lstrcmpA, ReadConsoleA, ReadDirectoryChangesW, CreateDirectoryW, GetThreadContext, CloseHandle, LocalFileTimeToFileTime, GetBinaryTypeA, FreeEnvironmentStringsA, SetProcessShutdownParameters, EnumCalendarInfoW, GetCompressedFileSizeW, SetThreadLocale, SetProcessAffinityMask, GlobalFindAtomW, LCMapStringA, GetAtomNameA, PeekNamedPipe, SetConsoleActiveScreenBuffer, ReleaseMutex
> USER32.dll: SetDlgItemTextA, ChangeDisplaySettingsExA, PostQuitMessage, KillTimer, SetUserObjectSecurity, GetClipboardFormatNameA, CallWindowProcA
> ADVAPI32.dll: RegUnLoadKeyA, SetEntriesInAclW, RegReplaceKeyW, StartServiceW, RegQueryValueExW, IsTextUnicode, LookupAccountNameA, IsValidSid
> MSVCRT.dll: strtoul, _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, toupper, _kbhit, _ismbcdigit, _splitpath, _strcmpi, _wremove, freopen, mbstowcs, fgetws, _strnicoll, memchr, isxdigit, _ultow, strstr

( 0 exports )

Starte HJT => Do a system scan only => Markiere:

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKCU\..\Run: [eywiw] "c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\eywiw.exe" eywiw
         

=> Fix checked

Starte den Rechner neu und kontrolliere im Firefox.

ciao, andreas

Okay Andreas, habe die Datei gefixed und bin wieder im Firefox: es sieht gut aus!!! Sollte ich noch was Spezielles kontrollieren?
Und müßte ich nicht jetzt, wenn alles okay ist, wieder die alten Einstellungen (wie Systemwiederherstellung usw.) wieder herstellen? Und noch eine letzte Frage: hat wirklich diese eine Datei verursacht, daß immer neue Werbeseiten kamen und wieso das nur im Firefox und nicht im IE?
Würde halt gern nicht nur die empfohlenen Schritte ausführen, sondern auch verstehen, woran das lag!

Vunana

Klicke bitte oben rechts auf Private Nachrichten. Schicke die Datei an meine Emailadresse, die ich dir zugeschickt habe. Falls du es hinbekommst, dann komprimiere sie mit ZIP mit dem Kennwort infected. Falls du nicht weißt, wovon ich spreche, schicke sie mir einfach so.

Zitat:

Und müßte ich nicht jetzt, wenn alles okay ist, wieder die alten Einstellungen (wie Systemwiederherstellung usw.) wieder herstellen?

Wir sind noch lange nicht fertig. Überlege dir gut, ob ein Neuaufsetzen nicht besser ist.

Zitat:

Und noch eine letzte Frage: hat wirklich diese eine Datei verursacht, daß immer neue Werbeseiten kamen und wieso das nur im Firefox und nicht im IE?

Genau da ist das Problem. Der Eintrag im HJT-Log deutete eindeutig auf Malware hin, nur kein Scanner erkennt den. Deswegen ja auch mein Smiley.

Zitat:

Würde halt gern nicht nur die empfohlenen Schritte ausführen, sondern auch verstehen, woran das lag!

Tja, das kann ich dir erst dann sagen, wenn ich weiß, was das überhaupt ist. Sollte sich das als RAT erweisen, wirst du um ein Neuaufsetzen nicht herumkommen.

Zitat:

Sollte ich noch was Spezielles kontrollieren?

Jetzt müssen wir noch genauer kontrollieren, ob da nicht noch mehr ist.

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

4.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

5.) Mach auch ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

6.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas

Ufff, das sieht echt nach was Größerem aus! Habe Dir die Datei geschickt. Kann ich die anderen Schritte auch morgen Schritt für Schritt machen und Dir das dann abends posten? Weiß nicht, ob ich das jetzt noch alles schaffe, da das für mich Neuland ist und ich daher genau aufpassen muß.
Kann ich den PC jetzt beruhigt ausmachen?
Vunana

Zitat:

Dir das dann abends posten?

Zitat:

Kann ich den PC jetzt beruhigt ausmachen?

Ja. Solange er aus ist, kann nichts passieren.

Ich wünsche dir eine gute Nacht,
andreas

Das wünsche ich Dir auch! Und arbeite nicht mehr so viel.....

Vunana