|
Plagegeister aller Art und deren Bekämpfung: exoclick.com und virusalertsWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
09.01.2009, 23:01 | #1 |
| exoclick.com und virusalerts Hi. Das ist mein erster Post. Nun hab ich gleich mal ein Problem. ;( Hab schon bei google gesucht abe rnix gefunden. Ich habe mir irgendein Virus eingefangen. Seit Heute findet der immerwieder Viren im Temp Ordner. Und wenn ich bei FireFox oder Internet Explorer bei google irgendwo drauf klicke komme ich manchmal auf Seiten wie Mamma.com oder ebay... Und weitergeleitet wird das von exoclick.com Was soll ich tun? |
10.01.2009, 20:58 | #2 |
| exoclick.com und virusalerts Hi Jay2 und
__________________Versuchs mal mit Ccleaner Wenn die Probleme dennoch weiterbestehen sollten, kannst du ein HijackThis Logfile posten
__________________ |
24.02.2009, 18:34 | #3 |
| exoclick.com und virusalerts Hallo.
__________________Ich habe leider das gleiche Problem. Abgesehen von den Viren im Temp-Ordner, die hab ich nicht. Den CCleaner habe ich durchlaufen lassen (Standardeinstellungen) und als das exoclick-Weitergeleite angefangen hat, habe ich auch eine komplette, zehnstündige AntiVir Systemprüfung durchlaufen lassen. Leider alles ohne Erfolg... Hier ist mein HijackThis Log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:44:59, on 24.02.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Pen_Tablet.exe C:\WINDOWS\system32\Wacom_Tablet.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe C:\WINDOWS\system32\Pen_Tablet.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe C:\WINDOWS\system32\Wacom_Tablet.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Miranda IM\miranda32.exe C:\WINDOWS\system32\java.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Mozilla Firefox\firefox.exe F:\Downloads\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O1 - Hosts: 62.146.66.181 dl1.avgate.net O1 - Hosts: 62.146.66.182 dl2.avgate.net O1 - Hosts: 62.146.66.183 dl3.avgate.net O1 - Hosts: 62.146.66.184 dl4.avgate.net O1 - Hosts: 62.146.66.185 dl5.avgate.net O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user') O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{7DED8D28-CB81-4F88-9FC6-C3C69E08E0F2}: NameServer = 192.168.2.1,192.168.2.2 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - C:\WINDOWS\system32\Wacom_Tablet.exe -- End of file - 7852 bytes Laut McAfee SiteAdvisor ist exoclick.com eigenlich unbedenklich. Aber es ist schon auffällig, dass man immer wieder über exoclick auf eine andere Seite geleitet wird, ebay, emule-Downloads, Adultzeug, Seiten die gar nicht funktionieren... Es muss ja auch nicht unbedingt zwangsläufig ein Virus sein? Und ich glaube bei mir war das nicht nur bei Google-Links sondern auch bei anderen Seiten aufgetreten. Mir fällt ein, bei meinem Linux mit Firefox hatte ich das Problem übrigens nicht. Geändert von annuschka (24.02.2009 um 18:46 Uhr) Grund: zusatzinfos |
24.02.2009, 19:08 | #4 | |
| exoclick.com und virusalerts 1.) Es existiert bereits ein aktuelleres Service Pack. Service Packs erhöhen die Sicherheit deines Systems. Besuche Microsoft's Windowsupdate Seite um dir das neuste Service Pack herunterzuladen. 2.) In deiem Logfile findet sich kein aktiver Prozess, der auf eine aktive Firewall hindeutet. Mögliche Gründe: (1.) Du benutzt die Windows XP eigene oder eine Hardware Firewall. (2.) Du benutzt eine Firewall, die uns nicht bekannt ist. (3.) Zur Zeit ist keine Firewall auf deinem System aktiv oder (4.) du verwendest keine Firewall. Aktiviere diese bitte unbedingt Exoclick kenn ich leider nicht, aber wie ist es wenn du FireFox neu herunterlädst? Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\system32\java.exe
Scanne nun mal bitte mit Malwarebytes, lösche alles und poste das Log. grüsse trojan-death
__________________ Kein Support per PN Zitat:
|
24.02.2009, 20:21 | #5 |
| exoclick.com und virusalerts 1.) Servicepack kann noch ne Weile dauern Auf den Server von download.microsoft.com höchstselbst kann man/ich gerade nicht zugreifen. Ich versuch weiterzusuchen. 2.) Die Windoof-Firewall ist aktiv. 3.) Runterladen und neuinstallieren von Firefox habe ich schon probiert. Leider ohne Erfolg. Und dieses seltsame Problem tritt auch beim IExplorer auf... 4.)Online Prüfung: Code:
ATTFilter Die Datei wurde bereits analysiert: MD5: c583655ebbe239c50269b941384f4def First received: - Datum 2009.02.12 22:55:47 (CET) [>11D] Ergebnisse 0/39 Permalink: analisis/90ed2035414256912f41d905446b514b Code:
ATTFilter Datei java.exe empfangen 2009.02.24 19:45:22 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/39 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit ist zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.93 2009.02.24 - AhnLab-V3 2009.2.24.0 2009.02.24 - AntiVir 7.9.0.88 2009.02.24 - Authentium 5.1.0.4 2009.02.24 - Avast 4.8.1335.0 2009.02.24 - AVG 8.0.0.237 2009.02.24 - BitDefender 7.2 2009.02.24 - CAT-QuickHeal 10.00 2009.02.22 - ClamAV 0.94.1 2009.02.24 - Comodo 986 2009.02.20 - DrWeb 4.44.0.09170 2009.02.24 - eSafe 7.0.17.0 2009.02.19 - eTrust-Vet 31.6.6372 2009.02.24 - F-Prot 4.4.4.56 2009.02.24 - F-Secure 8.0.14470.0 2009.02.24 - Fortinet 3.117.0.0 2009.02.24 - GData 19 2009.02.24 - Ikarus T3.1.1.45.0 2009.02.24 - K7AntiVirus 7.10.639 2009.02.21 - Kaspersky 7.0.0.125 2009.02.24 - McAfee 5535 2009.02.24 - McAfee+Artemis 5534 2009.02.23 - Microsoft 1.4306 2009.02.24 - NOD32 3886 2009.02.24 - Norman 6.00.06 2009.02.24 - nProtect 2009.1.8.0 2009.02.24 - Panda 10.0.0.10 2009.02.23 - PCTools 4.4.2.0 2009.02.24 - Prevx1 V2 2009.02.24 - Rising 21.18.12.00 2009.02.24 - SecureWeb-Gateway 6.7.6 2009.02.24 - Sophos 4.39.0 2009.02.24 - Sunbelt 3.2.1856.2 2009.02.24 - Symantec 10 2009.02.24 - TheHacker 6.3.2.5.264 2009.02.24 - TrendMicro 8.700.0.1004 2009.02.24 - VBA32 3.12.10.0 2009.02.24 - ViRobot 2009.2.24.1621 2009.02.24 - VirusBuster 4.5.11.0 2009.02.24 - weitere Informationen File size: 144792 bytes MD5...: c583655ebbe239c50269b941384f4def SHA1..: dd020103f396fe3405ddb9d3f4bb4178335114c6 SHA256: 0e9f3421439b2011e1cfc29a3f20bd545d46095d1a6312cad936f6aa055ad257 SHA512: 2ab9e67f54d9f953feeecd3920fba6b5c08e95fcbc2b4ed5996a8c32756bc610 ba17aa7aa22ee2a71646b6757efe7f096273a9a522ab0f0e39f534c008203548 ssdeep: 3072:U1cQNnd2tlWmkmH1E5TrMplBSFHjZqMNq:W3NNmkY1E5TrHTvq PEiD..: - TrID..: File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x40864c timedatestamp.....: 0x49180bdc (Mon Nov 10 10:24:28 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x11029 0x12000 6.42 f560607b10b000ccd55cf065eb37f46e .rdata 0x13000 0x4210 0x5000 4.64 97c1d9201244decc5b74c0403d349ef3 .data 0x18000 0x3778 0x2000 2.43 f672159fde64192e2c239d13f6fe9c55 .rsrc 0x1c000 0x7f28 0x8000 5.91 91ef2ab8022d342f6b230f4febab493a ( 2 imports ) > ADVAPI32.dll: RegCloseKey, RegOpenKeyExA, RegEnumKeyA, RegQueryValueExA > KERNEL32.dll: GetModuleFileNameA, QueryPerformanceCounter, QueryPerformanceFrequency, LocalFree, FormatMessageA, GetLastError, CloseHandle, GetExitCodeProcess, WaitForSingleObject, CreateProcessA, GetCommandLineA, FreeLibrary, GetExitCodeThread, GetProcAddress, LoadLibraryA, FindFirstFileA, FindNextFileA, FindClose, ExitProcess, GetModuleHandleA, TerminateProcess, GetCurrentProcess, EnterCriticalSection, LeaveCriticalSection, MultiByteToWideChar, ExitThread, GetCurrentThreadId, CreateThread, GetFileAttributesA, GetVersionExA, HeapAlloc, HeapReAlloc, HeapFree, DeleteCriticalSection, WideCharToMultiByte, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, WriteFile, ReadFile, TlsAlloc, SetLastError, TlsFree, TlsSetValue, TlsGetValue, FlushFileBuffers, SetEnvironmentVariableA, SetEnvironmentVariableW, UnhandledExceptionFilter, GetACP, GetOEMCP, GetCPInfo, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, HeapDestroy, HeapCreate, VirtualFree, SetStdHandle, VirtualAlloc, VirtualProtect, GetSystemInfo, VirtualQuery, SetFilePointer, InitializeCriticalSection, RtlUnwind, HeapSize, InterlockedExchange, CompareStringA, CompareStringW, CreateFileA, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, SetEndOfFile, GetTimeZoneInformation, FileTimeToSystemTime, FileTimeToLocalFileTime, GetDriveTypeA, GetFullPathNameA, GetCurrentDirectoryA ( 0 exports ) |
24.02.2009, 21:23 | #6 |
| exoclick.com und virusalerts Verdammt Habe erst jetzt gemerkt, dass du einfach in einen fremden Thread postest... Das ist ziemlich unfreundlichen dem TO gegenüber! Im normalfall musst du nen eigenen Thread erstellen aber da wir schon dabei sind, helf ich eben euch beiden gleichzeitig. Lösch java.exe! Und poste das Log von Malwarebytes
__________________ --> exoclick.com und virusalerts |
25.02.2009, 01:24 | #7 |
| exoclick.com und virusalerts Unfreundlich?! Es klingt sehr danach, dass Jay2 und ich genau das gleiche Problem haben. Und ich war immer der Meinung, es sei unfreundlich, zu einem Thema ständig neue Threads aufzumachen... Außerdem kann dadurch das Problem doch viel, viel effektiver gelöst werden. Wenn wir zum Beispiel feststellen, was Jay2 und ich gemeinsam haben. Und obendrein interessiert es Jay2 doch sicher auch, ob das Problem sich irgendwie lösen lässt... Okay, ich hab die Java.exe aus system32 gelöscht. Aber daran lag es glaub ich nicht, zumindest kommt immer noch das seltsame redirect Zeug. Malwarebytes läuft schon seit 5 Stunden, aber hat auch schon einen Fund vermeldet. Ich wills nicht unbedingt anhalten oder unterbrechen um nachzuschaun, was es ist. |
25.02.2009, 19:26 | #8 |
| exoclick.com und virusalerts Malwarebytes ist anscheinend durchgelaufen, und meine Eltern meinten, sie hätten auch den Rechner reinigen lassen. Wird der Log irgendwo automatisch gespeichert? Ich hab nochmal einen Quickcheck gemacht und der hat nichts gefunden. Und bei ner Stichprobe mit Google-Links wurde ich eben auch nicht weitergeleitet. Anscheinend hats funktioniert. Vielen Dank. Falls noch jemand das Problem mit exoclick hat, kann er ja noch nen Malware-Log posten. Wär zumindest mal interessant zu wissen, ob da wirklich Exoclick.com was mit zu tun hat. |
25.02.2009, 19:41 | #9 |
| exoclick.com und virusalerts Ah hier ist der Log, es möge nutzen: Code:
ATTFilter Malwarebytes' Anti-Malware 1.33 Datenbank Version: 1654 Windows 5.1.2600 Service Pack 2 25.02.2009 07:23:14 mbam-log-2009-02-25 (07-23-14).txt Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|H:\|) Durchsuchte Objekte: 452050 Laufzeit: 9 hour(s), 54 minute(s), 28 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 9 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\videosoft (Trojan.DNSChanger) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\msqpdxfdwwcexx.dll (Trojan.TDSS) -> Delete on reboot. C:\WINDOWS\system32\drivers\msqpdxdoexvoaf.sys (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\msqpdxfedfwwns.sys (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\msqpdxfondbtrf.sys (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\msqpdxmtkpbbsj.sys (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\msqpdxmxewrnyx.sys (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\msqpdxqfueydsi.sys (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\msqpdxsrdnrffd.sys (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\msqpdxyxvkboeu.sys (Trojan.Agent) -> Quarantined and deleted successfully. |
25.02.2009, 21:34 | #10 | |||
| exoclick.com und virusalerts Jep Zitat:
Zitat:
1. Woher willst DU wissen, dass Jay2 genau dasselbe Problem hat? Hast du sein HJT Log gesehen das ich nicht gesehen habe?!?! 2. Was ist wenn bei ihm nicht nur exoclick drauf ist? Wenn er nen Vundo oder sonst was drauf hat? 3. Die Vorgehensweise ist zu 99% individuell. Was ist wenn ich ihm ein Tool empfehle und du es fälschlicherweise ausführst und dein System zerstörst? 4. Im System32 kann es oft vorkommen, dass Malware genau denselben Dateinamen hat wie Systemdateien und wenn einer von euch die falsche Datei im falschen Ordner löscht, haben wir ein "kleineres" Problem Darum: IMMER nen eigenen Thread erstellen, Problem beschreiben und HJT Log poste. grüsse trojan-death
__________________ Kein Support per PN Zitat:
|
25.02.2009, 21:39 | #11 | ||
| exoclick.com und virusalerts Zum Malwarebytes Log: Sieht nicht sooo erfreulich aus... Zitat:
Folgendes: ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________ Kein Support per PN Zitat:
|
Themen zu exoclick.com und virusalerts |
explorer, firefox, gefunde, gesuch, gesucht, google, heute, immerwieder, inter, interne, internet, internet explorer, klicke, seite, seiten, temp, viren, virus, virusalert, virusalerts, weitergeleitet |