|
Plagegeister aller Art und deren Bekämpfung: Ständige Werbepopups ohne das der Browser offen ist?!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
15.01.2009, 19:48 | #16 |
| Ständige Werbepopups ohne das der Browser offen ist?! Jetzt mit der Liste weitermachen. Die Programme sollten wieder laufen. ciao, andreas |
15.01.2009, 20:04 | #17 |
| Ständige Werbepopups ohne das der Browser offen ist?! So hier mal der Log vom Intelli-Scan Malewarebytes
__________________Code:
ATTFilter Malwarebytes' Anti-Malware 1.33 Datenbank Version: 1656 Windows 5.1.2600 Service Pack 2 15.01.2009 20:04:08 mbam-log-2009-01-15 (20-03-59).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 64406 Laufzeit: 5 minute(s), 29 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 3 Infizierte Registrierungsschlüssel: 15 Infizierte Registrierungswerte: 4 Infizierte Dateiobjekte der Registrierung: 5 Infizierte Verzeichnisse: 0 Infizierte Dateien: 16 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS.0\system32\furujeze.dll (Trojan.Vundo.H) -> No action taken. c:\WINDOWS.0\system32\hesudipi.dll (Trojan.Vundo.H) -> No action taken. C:\WINDOWS.0\system32\pinafadi.dll (Trojan.Vundo.H) -> No action taken. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bda43be2-0eeb-4990-85fd-9e6704444a5d} (Trojan.Vundo.H) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{bda43be2-0eeb-4990-85fd-9e6704444a5d} (Trojan.Vundo.H) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> No action taken. HKEY_CLASSES_ROOT\orb.ta (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\orb.ta.1 (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\Interface\{21eeb010-57f3-11dd-b116-dad055d89593} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{ada8c222-95d2-47b5-950b-aebc0a508839} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\Typelib\{1b7f9329-aaf9-4e34-8ecf-c363fd3c60cf} (Trojan.BHO) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{ada8c222-95d2-47b5-950b-aebc0a508839} (Trojan.BHO) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yumukaboda (Trojan.Vundo.H) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpmab4f3aec (Trojan.Vundo.H) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.Vundo.H) -> No action taken. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows.0\system32\furujeze.dll -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows.0\system32\furujeze.dll -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\furujeze.dll -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows.0\system32\hesudipi.dll -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\hesudipi.dll -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS.0\system32\tjnpgyve.dll (Trojan.Vundo.H) -> No action taken. C:\WINDOWS.0\system32\evygpnjt.ini (Trojan.Vundo.H) -> No action taken. C:\WINDOWS.0\system32\pinafadi.dll (Trojan.Vundo.H) -> No action taken. c:\WINDOWS.0\system32\hesudipi.dll (Trojan.Vundo.H) -> No action taken. C:\WINDOWS.0\system32\furujeze.dll (Trojan.Vundo.H) -> No action taken. C:\WINDOWS.0\system32\gokisoso.dll (Trojan.Vundo) -> No action taken. C:\WINDOWS.0\system32\nodivivo.dll (Trojan.Vundo) -> No action taken. C:\WINDOWS.0\system32\drivers\5fdded8.sys (Rootkit.Agent) -> No action taken. C:\WINDOWS.0\Temp\tmp51.exe (Trojan.Vundo.H) -> No action taken. C:\WINDOWS.0\system32\mcrh.tmp (Malware.Trace) -> No action taken. C:\WINDOWS.0\system32\ljJASkKD.dll (Trojan.Vundo) -> No action taken. C:\Dokumente und Einstellungen\Nicole.RECHNER4\Anwendungsdaten\TmpRecentIcons\Vista Antivirus 2008.lnk (Rogue.Link) -> No action taken. C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temp\bindsrv2.exe (Trojan.FakeAlert) -> No action taken. C:\Dokumente und Einstellungen\Nicole.RECHNER4\Favoriten\Error Cleaner.url (Rogue.Link) -> No action taken. C:\Dokumente und Einstellungen\Nicole.RECHNER4\Favoriten\Privacy Protector.url (Rogue.Link) -> No action taken. C:\Dokumente und Einstellungen\Nicole.RECHNER4\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> No action taken. |
15.01.2009, 20:07 | #18 |
| Ständige Werbepopups ohne das der Browser offen ist?! Gleich nocheinmal laufen lassen. Ich brauche den vollständigen Scan. Alle Funde löschen lassen, so wie es in der Anleitung steht.
__________________ciao, andreas |
16.01.2009, 00:17 | #19 |
| Ständige Werbepopups ohne das der Browser offen ist?!Code:
ATTFilter Malwarebytes' Anti-Malware 1.33 Datenbank Version: 1656 Windows 5.1.2600 Service Pack 2 16.01.2009 00:18:38 mbam-log-2009-01-16 (00-18-38).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 173666 Laufzeit: 4 hour(s), 6 minute(s), 20 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 3 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 4 Infizierte Dateiobjekte der Registrierung: 5 Infizierte Verzeichnisse: 0 Infizierte Dateien: 12 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS.0\system32\furujeze.dll (Trojan.Vundo.H) -> Delete on reboot. c:\WINDOWS.0\system32\hesudipi.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS.0\system32\pinafadi.dll (Trojan.Vundo.H) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bda43be2-0eeb-4990-85fd-9e6704444a5d} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{bda43be2-0eeb-4990-85fd-9e6704444a5d} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpmab4f3aec (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yumukaboda (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.Vundo.H) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows.0\system32\furujeze.dll -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows.0\system32\furujeze.dll -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\furujeze.dll -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows.0\system32\hesudipi.dll -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\hesudipi.dll -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\WINDOWS.0\system32\hesudipi.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS.0\system32\pinafadi.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS.0\system32\furujeze.dll (Trojan.Vundo.H) -> Delete on reboot. C:\Dokumente und Einstellungen\Cloe\Lokale Einstellungen\Temporary Internet Files\Content.IE5\83YNMBI3\upd105320[1] (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Cloe\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M7MJ6PYZ\4jjn0b7.dll[1].htm (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\43IZZUMY\pldr8[1].htm (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS.0\system32\drivers\5fdded8.sys (Rootkit.Agent) -> Delete on reboot. E:\System Volume Information\_restore{7F80430E-C6BD-4A9E-891F-C42D7ED5B6F7}\RP10\A0010545.dll (Trojan.Agent) -> Quarantined and deleted successfully. E:\System Volume Information\_restore{7F80430E-C6BD-4A9E-891F-C42D7ED5B6F7}\RP10\A0010692.EXE (Trojan.Agent) -> Quarantined and deleted successfully. E:\System Volume Information\_restore{7F80430E-C6BD-4A9E-891F-C42D7ED5B6F7}\RP10\A0010694.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully. E:\System Volume Information\_restore{7F80430E-C6BD-4A9E-891F-C42D7ED5B6F7}\RP10\A0010695.DLL (Adware.AskSBAR) -> Quarantined and deleted successfully. E:\System Volume Information\_restore{7F80430E-C6BD-4A9E-891F-C42D7ED5B6F7}\RP10\A0010696.DLL (Trojan.Agent) -> Quarantined and deleted successfully. |
16.01.2009, 00:26 | #20 |
| Ständige Werbepopups ohne das der Browser offen ist?! Hier dann der Log von SUPERAntiSpyware Code:
ATTFilter SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 01/16/2009 at 00:24 AM Application Version : 4.24.1004 Core Rules Database Version : 3711 Trace Rules Database Version: 1685 Scan type : Complete Scan Total Scan Time : 04:28:22 Memory items scanned : 442 Memory threats detected : 1 Registry items scanned : 4493 Registry threats detected : 53 File items scanned : 121831 File threats detected : 69 Adware.Vundo Variant C:\WINDOWS.0\SYSTEM32\HESUDIPI.DLL C:\WINDOWS.0\SYSTEM32\HESUDIPI.DLL HKLM\Software\Classes\CLSID\{C5BF49A2-94F3-42BD-F434-3604812C8955} HKCR\CLSID\{C5BF49A2-94F3-42BD-F434-3604812C8955} HKCR\CLSID\{C5BF49A2-94F3-42BD-F434-3604812C8955} HKCR\CLSID\{C5BF49A2-94F3-42BD-F434-3604812C8955}#ThreadingModel HKCR\CLSID\{C5BF49A2-94F3-42BD-F434-3604812C8955}\InProcServer32 HKCR\CLSID\{C5BF49A2-94F3-42BD-F434-3604812C8955}\InProcServer32#ThreadingModel C:\WINDOWS.0\SYSTEM32\RWHBFB873UNJDFDG.DLL HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler#{C5BF49A2-94F3-42BD-F434-3604812C8955} HKU\s-1-5-21-507921405-1078145449-839522115-1007\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C5BF49A2-94F3-42BD-F434-3604812C8955} Adware.Gen-WinFi HKLM\Software\Classes\CLSID\{ada8c222-95d2-47b5-950b-aebc0a508839} HKCR\CLSID\{ADA8C222-95D2-47B5-950B-AEBC0A508839} HKCR\CLSID\{ADA8C222-95D2-47B5-950B-AEBC0A508839} HKCR\CLSID\{ADA8C222-95D2-47B5-950B-AEBC0A508839}\inprocserver32 HKCR\CLSID\{ADA8C222-95D2-47B5-950B-AEBC0A508839}\inprocserver32#ThreadingModel HKCR\CLSID\{ADA8C222-95D2-47B5-950B-AEBC0A508839}\progid HKCR\CLSID\{ADA8C222-95D2-47B5-950B-AEBC0A508839}\programmable HKCR\CLSID\{ADA8C222-95D2-47B5-950B-AEBC0A508839}\typelib HKCR\CLSID\{ADA8C222-95D2-47B5-950B-AEBC0A508839}\versionindependentprogid HKCR\ORB.ta.1 HKCR\ORB.ta.1\clsid HKCR\ORB.ta HKCR\ORB.ta\clsid HKCR\ORB.ta\curver HKCR\TypeLib\{1B7F9329-AAF9-4E34-8ECF-C363FD3C60CF} HKCR\TypeLib\{1B7F9329-AAF9-4E34-8ECF-C363FD3C60CF}\1.0 HKCR\TypeLib\{1B7F9329-AAF9-4E34-8ECF-C363FD3C60CF}\1.0\0 HKCR\TypeLib\{1B7F9329-AAF9-4E34-8ECF-C363FD3C60CF}\1.0\0\win32 HKCR\TypeLib\{1B7F9329-AAF9-4E34-8ECF-C363FD3C60CF}\1.0\flags HKCR\TypeLib\{1B7F9329-AAF9-4E34-8ECF-C363FD3C60CF}\1.0\helpdir C:\WINDOWS.0\SYSTEM32\SPRIA.DLL HKU\s-1-5-21-507921405-1078145449-839522115-1007\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ada8c222-95d2-47b5-950b-aebc0a508839} Unclassified.Unknown Origin HKLM\Software\Classes\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} HKCR\CLSID\{EC43E3FD-5C60-46A6-97D7-E0B85DBDD6C4} HKCR\CLSID\{EC43E3FD-5C60-46A6-97D7-E0B85DBDD6C4}\inprocserver32 HKCR\CLSID\{EC43E3FD-5C60-46A6-97D7-E0B85DBDD6C4}\inprocserver32#ThreadingModel HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler#{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad#SSODL HKCR\CLSID\{EC43E3FD-5C60-46A6-97D7-E0B85DBDD6C4} Rootkit.Cloaked/Service-GEN HKLM\system\controlset003\services\5fdded8 C:\WINDOWS.0\SYSTEM32\DRIVERS\5FDDED8.SYS HKLM\system\controlset004\services\5fdded8 Adware.Tracking Cookie C:\Dokumente und Einstellungen\Cloe\Cookies\cloe@atwola[1].txt C:\Dokumente und Einstellungen\Cloe\Cookies\cloe@serving-sys[2].txt C:\Dokumente und Einstellungen\Cloe\Cookies\cloe@ad.zanox[2].txt C:\Dokumente und Einstellungen\Cloe\Cookies\cloe@ad.yieldmanager[1].txt C:\Dokumente und Einstellungen\Cloe\Cookies\cloe@adserver.71i[1].txt C:\Dokumente und Einstellungen\Cloe\Cookies\cloe@adserver.adtechus[1].txt C:\Dokumente und Einstellungen\Cloe\Cookies\cloe@atdmt[2].txt C:\Dokumente und Einstellungen\Cloe\Cookies\cloe@zbox.zanox[1].txt C:\Dokumente und Einstellungen\Cloe\Cookies\cloe@tribalfusion[2].txt C:\Dokumente und Einstellungen\Cloe\Cookies\cloe@bs.serving-sys[1].txt C:\Dokumente und Einstellungen\Cloe\Cookies\cloe@tradedoubler[2].txt C:\Dokumente und Einstellungen\Cloe\Cookies\cloe@doubleclick[1].txt C:\Dokumente und Einstellungen\Cloe\Cookies\cloe@becometrueclick[2].txt Adware.Vundo Variant/Rel HKLM\SOFTWARE\Microsoft\FCOVM HKLM\SOFTWARE\Microsoft\RemoveRP HKLM\SOFTWARE\Microsoft\MS Track System HKLM\SOFTWARE\Microsoft\MS Track System#Uid HKLM\SOFTWARE\Microsoft\rdfa HKLM\SOFTWARE\Microsoft\rdfa#F HKLM\SOFTWARE\Microsoft\rdfa#N Rogue.Component/Trace HKLM\Software\Microsoft\A87C1BFE HKLM\Software\Microsoft\A87C1BFE#a87c1bfe HKLM\Software\Microsoft\A87C1BFE#Version HKLM\Software\Microsoft\A87C1BFE#a87cb67e HKLM\Software\Microsoft\A87C1BFE#a87cdf9b HKU\s-1-5-21-507921405-1078145449-839522115-1007\Software\Microsoft\CS41275 HKU\s-1-5-21-507921405-1078145449-839522115-1007\Software\Microsoft\FIAS4018 Trojan.Fake-Alert/Trace HKU\s-1-5-21-507921405-1078145449-839522115-1007\SOFTWARE\Microsoft\fias4013 Trojan.Dropper/Gen-SoftDev C:\DOKUMENTE UND EINSTELLUNGEN\NETWORKSERVICE.NT-AUTORITÄT\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\43IZZUMY\PLDR8[1].HTM C:\WINDOWS.0\SYSTEM32\FANENOTO.DLL C:\WINDOWS.0\SYSTEM32\YURIWUSI.DLL Desktop Hijacker.AboutYourPrivacy C:\DOKUMENTE UND EINSTELLUNGEN\NICOLE.RECHNER4\LOKALE EINSTELLUNGEN\TEMP\PRIVACY_DANGER\IMAGES\CAPT.GIF C:\DOKUMENTE UND EINSTELLUNGEN\NICOLE.RECHNER4\LOKALE EINSTELLUNGEN\TEMP\PRIVACY_DANGER\IMAGES\DOWN.GIF Trojan.Unknown Origin C:\SYSTEM VOLUME INFORMATION\_RESTORE{7F80430E-C6BD-4A9E-891F-C42D7ED5B6F7}\RP18\A0040955.ICO C:\SYSTEM VOLUME INFORMATION\_RESTORE{7F80430E-C6BD-4A9E-891F-C42D7ED5B6F7}\RP18\A0039952.ICO C:\SYSTEM VOLUME INFORMATION\_RESTORE{7F80430E-C6BD-4A9E-891F-C42D7ED5B6F7}\RP18\A0041953.ICO C:\SYSTEM VOLUME INFORMATION\_RESTORE{7F80430E-C6BD-4A9E-891F-C42D7ED5B6F7}\RP21\A0042038.ICO Adware.Vundo/Variant-Checkers C:\WINDOWS.0\SYSTEM32\SLTTGGBJ.DLL Rootkit.Agent/Gen-Local D:\PROGRAMME\GXTRANSCODER.NET\ENCODER\OFF.EXE D:\PROGRAMME\GXTRANSCODER.NET\ENCODER\OFR.EXE D:\PROGRAMME\GXTRANSCODER.NET\ENCODER\OFS.EXE Trace.Known Threat Sources C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3K702LCP\cut2_2[1].gif C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6J8JMBQ1\load_txt[1].gif C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IIIDKME0\bord_bttm[1].gif C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IIIDKME0\cut4_2[1].gif C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3K702LCP\cut4_4[1].gif C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9AAKOB4L\cut1_2[1].gif C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3K702LCP\con4[1].gif C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9AAKOB4L\shadow_left[1].png C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9AAKOB4L\cut1[1].gif C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3K702LCP\shadow_bottom[1].png C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6J8JMBQ1\buy_n[1].gif C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IIIDKME0\cut2_4[1].gif C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IIIDKME0\supp_n[1].gif C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9AAKOB4L\load_bg[1].gif C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3K702LCP\main[1].htm C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6J8JMBQ1\cut1_4[1].gif C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6J8JMBQ1\css_land[1].css C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IIIDKME0\load_pointer[1].gif C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3K702LCP\con2[1].gif C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IIIDKME0\shadow_right[1].png C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6J8JMBQ1\bord_lr[1].gif C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6J8JMBQ1\load_bttn[1].gif C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3K702LCP\cut2[1].gif C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IIIDKME0\main_top2[1].gif C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IIIDKME0\load_txt3[1].gif C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9AAKOB4L\con3[1].gif C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3K702LCP\down_n[1].gif C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6J8JMBQ1\load_img2[1].gif C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9AAKOB4L\cut3_4[1].gif C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IIIDKME0\bord_lr2[1].gif C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3K702LCP\cut3_2[1].gif C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9AAKOB4L\home_s[1].gif C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6J8JMBQ1\load_slogan[1].gif C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9AAKOB4L\shadow_con_right[1].png C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9AAKOB4L\load_img1[1].gif C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IIIDKME0\03[1].swf C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9AAKOB4L\bg[1].jpg C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3K702LCP\main_top[1].gif C:\Dokumente und Einstellungen\Nicole.RECHNER4\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3K702LCP\load_flash_bg[1].gif |
16.01.2009, 00:37 | #21 | |
| Ständige Werbepopups ohne das der Browser offen ist?!Zitat:
Seit wann macht der Rechner Probleme? Bevor du das finale HJT-Log machst, kommen noch 2 neue Scans. Bitte halte dich ganz genau an die Anleitung. 1.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. 2.) Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installationciao, andreas |
16.01.2009, 00:41 | #22 |
| Ständige Werbepopups ohne das der Browser offen ist?! Alo ärger macht er mir eigentlich erst seit 2 Tagen wo ich dann auch genau diese 2 tage 24h am tag versucht hab das teil weg zubekommen aber bis dahin ohne erfolg, ich hoffe es klappt diesmal =) |
16.01.2009, 00:56 | #23 |
| Ständige Werbepopups ohne das der Browser offen ist?! Hier die Combo-Fix Log-Datei Code:
ATTFilter ComboFix 09-01-13.04 - Cloe 2009-01-16 0:47:26.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1023.691 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Cloe\Desktop\ComboFix.exe AV: avast! antivirus 4.8.1201 [VPS 090115-0] *On-access scanning disabled* (Outdated) * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat c:\windows.0\system32\aduhemol.ini c:\windows.0\system32\drivers\RKL1.tmp.sys c:\windows.0\system32\iwitphhy.ini c:\windows.0\system32\NqXFNqss.ini c:\windows.0\system32\NqXFNqss.ini2 c:\windows.0\system32\RAaayGgh.ini c:\windows.0\system32\RAaayGgh.ini2 ----- BITS: Eventuell infizierte Webseiten ----- hxxp://77.74.48.105 . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_UACd.sys ((((((((((((((((((((((( Dateien erstellt von 2008-12-15 bis 2009-01-15 )))))))))))))))))))))))))))))) . 2009-01-15 19:52 . 2009-01-14 16:11 38,496 --a------ c:\windows.0\system32\drivers\mbamswissarmy.sys 2009-01-15 19:52 . 2009-01-14 16:11 15,504 --a------ c:\windows.0\system32\drivers\mbam.sys 2009-01-15 19:51 . 2009-01-15 19:51 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\SUPERAntiSpyware.com 2009-01-15 18:27 . 2009-01-15 18:27 <DIR> d-------- c:\dokumente und einstellungen\Cloe\Anwendungsdaten\SUPERAntiSpyware.com 2009-01-15 17:51 . 2009-01-15 17:51 0 --a------ c:\windows.0\system32\REN5C.tmp 2009-01-15 17:51 . 2009-01-15 17:51 0 --a------ c:\windows.0\system32\REN5B.tmp 2009-01-15 17:22 . 2009-01-15 17:22 <DIR> d-------- c:\programme\Trend Micro 2009-01-15 16:44 . 2009-01-15 16:44 7,680 --a------ c:\windows.0\system32\drivers\RKL20.tmp.sys 2009-01-14 20:24 . 2003-07-16 07:17 5,174 --a------ c:\windows.0\system32\nppt9x.vxd 2009-01-14 20:24 . 2004-12-30 22:43 4,682 --a------ c:\windows.0\system32\npptNT2.sys 2009-01-14 18:39 . 2009-01-14 18:39 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\InstallShield 2009-01-13 05:00 . 2009-01-15 17:52 <DIR> d-a------ c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\TEMP 2009-01-13 03:01 . 2009-01-14 18:49 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\SecTaskMan 2009-01-13 00:57 . 2009-01-13 00:57 2 --a------ C:\-1468266017 2009-01-12 19:21 . 2009-01-12 19:21 <DIR> d-------- c:\programme\Gemeinsame Dateien\Adobe Systems Shared 2009-01-12 19:21 . 2009-01-12 19:21 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Adobe Systems 2009-01-12 16:51 . 2009-01-12 16:51 4 -r-hs---- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\sysqcl1129139270.dat 2009-01-12 16:39 . 2009-01-12 16:39 <DIR> d-------- c:\programme\Gemeinsame Dateien\xara 2009-01-12 16:38 . 2009-01-12 16:38 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Xara 2009-01-08 22:56 . 2009-01-13 01:40 <DIR> d-------- c:\programme\Gemeinsame Dateien\Real 2008-12-21 21:55 . 2008-12-21 21:55 <DIR> d-------- c:\programme\Gemeinsame Dateien\DirectX 2008-12-16 21:28 . 2005-05-26 15:34 2,297,552 --a------ c:\windows.0\system32\d3dx9_26.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-15 23:30 --------- d-----w c:\dokumente und einstellungen\Cloe\Anwendungsdaten\Skype 2009-01-15 18:41 --------- d-----w c:\dokumente und einstellungen\Cloe\Anwendungsdaten\teamspeak2 2009-01-15 17:27 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2009-01-15 16:51 --------- d-----w c:\programme\Java 2009-01-15 12:34 --------- d--h--w c:\programme\InstallShield Installation Information 2009-01-15 12:34 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield 2009-01-13 02:16 --------- d-----w c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\TuneUp Software 2009-01-12 19:24 --------- d-----w c:\dokumente und einstellungen\Cloe\Anwendungsdaten\LimeWire 2009-01-12 18:23 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe 2009-01-12 15:40 --------- d-----w c:\dokumente und einstellungen\Cloe\Anwendungsdaten\MAGIX 2009-01-12 15:40 --------- d-----w c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\MAGIX 2008-12-21 20:12 --------- d-----w c:\dokumente und einstellungen\Cloe\Anwendungsdaten\BitTorrent 2008-12-20 10:52 --------- d-----w c:\programme\Teamspeak2_RC2 2008-12-13 23:56 --------- d-----w c:\dokumente und einstellungen\Cloe\Anwendungsdaten\Malwarebytes 2008-12-13 23:56 --------- d-----w c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Malwarebytes 2008-12-13 22:43 --------- d-----w c:\programme\Lavalys 2008-12-13 22:42 --------- d-----w c:\programme\Paradiesbar 2008-12-01 06:50 --------- d-----w c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\NVIDIA 2008-11-15 23:29 --------- d-----w c:\programme\Microsoft.NET 2008-11-15 23:14 --------- d-----w c:\programme\PowerISO 2008-11-15 19:07 --------- d-----w c:\programme\OpenOffice.org 2.0 2008-11-15 17:44 --------- d-----w c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Microsoft Help 2008-11-15 16:49 --------- d-----w c:\dokumente und einstellungen\Cloe\Anwendungsdaten\OpenOffice.org2 2008-11-15 00:18 --------- d-----w c:\programme\Gemeinsame Dateien\DVDVideoSoft 2008-11-15 00:17 --------- d-----w c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\SweetIM 2008-12-17 22:34 67,688 ----a-w c:\programme\mozilla firefox\components\jar50.dll 2008-12-17 22:34 54,368 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll 2008-12-17 22:34 34,944 ----a-w c:\programme\mozilla firefox\components\myspell.dll 2008-12-17 22:34 46,712 ----a-w c:\programme\mozilla firefox\components\spellchk.dll 2008-12-17 22:34 172,136 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SUPERAntiSpyware"="d:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-12-22 1830128] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-02-24 2372760] "OODefragTray"="c:\windows.0\system32\oodtray.exe" [2007-05-16 2512392] "avast!"="d:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 79224] "ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-08-11 81920] "Realtime Audio Engine"="mmrtkrnl.exe" [2003-09-13 c:\windows.0\system32\MMRTKRNL.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows.0\system32\CTFMON.EXE" [2004-08-04 15360] "T-Online_Software_6\WLAN-Access Finder"="c:\programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2007-07-25 671796] c:\dokumente und einstellungen\Default User.WINDOWS.0\Startmen\Programme\Autostart\ DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [2008-07-14 1085440] c:\dokumente und einstellungen\Default User.WINDOWS.0\Startmen\Programme\Autostart\ DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [2008-07-14 1085440] c:\dokumente und einstellungen\Gast\Startmen\Programme\Autostart\ DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [2008-07-14 1085440] c:\dokumente und einstellungen\Default User.WINDOWS.0\Startmen\Programme\Autostart\ DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [2008-07-14 1085440] c:\dokumente und einstellungen\Cloe\Startmen\Programme\Autostart\ Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "d:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!saswinlogon] 2008-12-22 11:05 356352 d:\programme\SUPERAntiSpyware\SASWINLO.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"= xyhcrd.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ autocheck autochk /r \??\i:\0autocheck autochk *\0OODBS [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "d:\\Programme\\ICQ6\\ICQ.exe"= "c:\\Programme\\DNA\\btdna.exe"= "c:\\Programme\\BitTorrent\\BitTorrent.exe"= c:\\Programme\\BitTorrent\\bittorrent.exe "d:\\Programme\\LimeWire\\LimeWire.exe"= "c:\\Programme\\MSN Messenger\\msnmsgr.exe"= "c:\\Programme\\MSN Messenger\\livecall.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R1 aswSP;avast! Self Protection;c:\windows.0\system32\drivers\aswSP.sys [2008-12-05 78416] R1 sasdifsv;SASDIFSV;d:\programme\SUPERAntiSpyware\sasdifsv.sys [2008-12-22 8944] R1 saskutil;SASKUTIL;d:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2008-12-22 55024] R3 sasenum;SASENUM;d:\programme\SUPERAntiSpyware\SASENUM.SYS [2008-12-22 7408] R3 TSMPacket;DSL-Manager Service;c:\windows.0\system32\drivers\tsmpkt.sys [2008-07-14 13824] R4 aswFsBlk;aswFsBlk;c:\windows.0\system32\drivers\aswFsBlk.sys [2008-12-05 20560] R4 MarxDev1;MarxDev1;c:\windows.0\system32\drivers\MARXDEV1.SYS [2008-08-20 8864] R4 MarxDev2;MarxDev2;c:\windows.0\system32\drivers\MARXDEV2.SYS [2008-08-20 8864] R4 MarxDev3;MarxDev3;c:\windows.0\system32\drivers\MARXDEV3.SYS [2008-08-20 8864] R4 RSShutdown;RichiStudios Shutdown;c:\programme\RichiStudios\Shutdown\Service.exe [2004-06-20 45056] S1 5fdded8;5fdded8;c:\windows.0\system32\drivers\5fdded8.sys --> c:\windows.0\system32\drivers\5fdded8.sys [?] S3 antiaries;Anti Aries Helper Driver;c:\windows.0\system32\drivers\RKL20.tmp.sys [2009-01-15 7680] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;d:\programme\Common\Database\bin\fbserver.exe --> d:\programme\Common\Database\bin\fbserver.exe [?] S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;\??\c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS --> c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [?] S3 TDslMgrService;DSL-Manager;c:\programme\DSL-Manager\DslMgrSvc.exe [2008-07-14 290816] S3 teamviewervpn;TeamViewer VPN Adapter;c:\windows.0\system32\drivers\teamviewervpn.sys [2008-01-25 25088] S4 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe --> c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [?] . Inhalt des "geplante Tasks" Ordners 2009-01-15 c:\windows.0\Tasks\ylyljeus.job - c:\windows.0\system32\rundll32.exe [2004-08-04 13:00] . - - - - Entfernte verwaiste Registrierungseinträge - - - - Notify-gebqnfdv - geBqNfDv.dll . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.toggo.de/toggo.php?url=index.php IE: E&xport to Microsoft Excel - d:\progra~1\MICROS~1\Office10\EXCEL.EXE/3000 IE: Nach Microsoft &Excel exportieren - d:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\Cloe\Anwendungsdaten\Mozilla\Firefox\Profiles\8ptw26p6.default\ FF - prefs.js: browser.startup.homepage - hxxp://freewar.de/ FF - prefs.js: keyword.URL - hxxp://search.sweetim.com/search.asp?src=2&q= FF - component: c:\programme\Mozilla Firefox\components\xpinstal.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npbittorrent.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\NpFp501.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\NpFv501.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\NPJava11.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\NPJava12.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\NPJava131_01.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\NPJava32.dll FF - plugin: d:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-16 00:51:10 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- LOCKED REGISTRY KEYS --------------------- [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4}\inprocserver32] @DACL=(02 0000) @="c:\\windows.0\\system32\\hesudipi.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System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urch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(840) d:\programme\SUPERAntiSpyware\SASWINLO.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Sygate\SPF\Smc.exe d:\programme\Alwil Software\Avast4\aswUpdSv.exe d:\programme\Alwil Software\Avast4\ashServ.exe c:\windows.0\system32\oodag.exe d:\programme\Alwil Software\Avast4\ashMaiSv.exe d:\programme\Alwil Software\Avast4\ashWebSv.exe c:\windows.0\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-01-16 0:52:54 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-01-15 23:52:47 Vor Suchlauf: 12 Verzeichnis(se), 12.270.518.272 Bytes frei Nach Suchlauf: 12 Verzeichnis(se), 12,268,175,360 Bytes frei 212 Edit: Beim Scannen hat er mir schon wieder oder immer noch Infizierte Datein angezeigt ich mag da garnicht hinsehen sind bei 22 % schon über 50 Eine Neuinstallation wollte ich eigentlich umgehen Geändert von Angelwhite (16.01.2009 um 01:08 Uhr) |
16.01.2009, 08:42 | #24 | ||
| Ständige Werbepopups ohne das der Browser offen ist?!Zitat:
Zitat:
ciao, andreas |
16.01.2009, 14:40 | #25 |
| Ständige Werbepopups ohne das der Browser offen ist?! Hier der ActiveScan -Log http://www.file-upload.net/download-1382493/ActiveScan.txt.html |
16.01.2009, 16:35 | #26 | ||||
| Ständige Werbepopups ohne das der Browser offen ist?! Um ehrlich zu sein bin ich ziemlich sauer auf dich. Ich war kurz davor meinen üblichen Satz "Ich bin raus" loszulassen. Bevor es weitergeht, liest du das hier: Homepage von Malte J. Wetz Anschliessend das hier: Computersicherheit - Virenscanner Zitat: Zitat:
Zitat:
Wo das hier her ist, will ich gar nicht wissen: Zitat:
Zitat:
|
16.01.2009, 17:20 | #27 | |
| Ständige Werbepopups ohne das der Browser offen ist?!Zitat:
Beide Links genau gelesen und verstanden und ich weis das ich sowas definitiv nicht mehr machen werde sondern mich dann an den support des spiele herausgebers wenden werde. |
16.01.2009, 17:26 | #28 |
| Ständige Werbepopups ohne das der Browser offen ist?! 1.) Mit CCleaner nach Anleitung reinigen, dabei auch die Registry reinigen. 2.) Scripten mit Combofix
Code:
ATTFilter KILLALL:: File:: C:\-1468266017 c:\windows.0\system32\xyhcrd.dll c:\windows.0\Tasks\ylyljeus.job c:\windows.0\system32\hesudipi.dll E:\Spiele Install\Need for Speed Underground 2 (1)\Crack\rld-nu2k.exe E:\Spiele Install\Need for Speed Underground 2 ()\Crack\rld-nu2k.exe E:\Incomplete\T-5745425-Paffendorf - dance city - Smile.mp3 E:\Incomplete\T-5745425-omen 3 magic affaire.mp3 E:\Incomplete\T-5745425-viva la vida captain jack.mp3 C:\WINDOWS.0\system32\MMRTKRNL.EXE Folder:: c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\SecTaskMan c:\dokumente und einstellungen\Cloe\Anwendungsdaten\LimeWire c:\dokumente und einstellungen\Cloe\Anwendungsdaten\BitTorrent c:\Programme\DNA c:\Programme\LimeWire c:\Programme\BitTorrent
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann 2.) Deaktiviere die Systemwiederherstellung=>Neustart=>Aktiviere die Systemwiederherstellung und erstelle einen neuen Wiederherstellungspunkt 3.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code:
ATTFilter c:\windows.0\system32\drivers\aswFsBlk.sys ciao, andreas |
16.01.2009, 17:46 | #29 |
| Ständige Werbepopups ohne das der Browser offen ist?! Hier der Combo-Fix Log http://www.file-upload.net/download-...5/log.txt.html Und hier die auswertung von VirusTotal Code:
ATTFilter Datei aswFsBlk.sys empfangen 2009.01.16 17:43:45 (CET) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.73 2009.01.16 - AhnLab-V3 2009.1.15.0 2009.01.16 - AntiVir 7.9.0.55 2009.01.16 - Authentium 5.1.0.4 2009.01.16 - Avast 4.8.1281.0 2009.01.16 - AVG 8.0.0.229 2009.01.16 - BitDefender 7.2 2009.01.16 - CAT-QuickHeal 10.00 2009.01.16 - ClamAV 0.94.1 2009.01.16 - Comodo 933 2009.01.16 - DrWeb 4.44.0.09170 2009.01.16 - eSafe 7.0.17.0 2009.01.15 - eTrust-Vet 31.6.6311 2009.01.16 - F-Prot 4.4.4.56 2009.01.16 - F-Secure 8.0.14470.0 2009.01.16 - Fortinet 3.117.0.0 2009.01.15 - GData 19 2009.01.16 - Ikarus T3.1.1.45.0 2009.01.16 - K7AntiVirus 7.10.593 2009.01.16 - Kaspersky 7.0.0.125 2009.01.16 - McAfee 5496 2009.01.15 - McAfee+Artemis 5496 2009.01.15 - Microsoft None 2009.01.16 - NOD32 3772 2009.01.16 - Norman 5.93.01 2009.01.16 - nProtect 2009.1.8.0 2009.01.16 - Panda 9.5.1.2 2009.01.15 - PCTools 4.4.2.0 2009.01.16 - Prevx1 V2 2009.01.16 - Rising 21.12.42.00 2009.01.16 - SecureWeb-Gateway 6.7.6 2009.01.16 - Sophos 4.37.0 2009.01.16 - Sunbelt 3.2.1835.2 2009.01.16 - Symantec 10 2009.01.16 - TheHacker 6.3.1.4.220 2009.01.14 - TrendMicro 8.700.0.1004 2009.01.16 - ViRobot 2009.1.16.1562 2009.01.16 - VirusBuster 4.5.11.0 2009.01.16 - File size: 20560 bytes MD5...: 922c09ed986c31d6d4445dc937465103 SHA1..: df60ac1a884434770af8c38a7833ba25f4024d55 SHA256: b582e0350f8e609c58f5caa820f166de357c26f2a8fef339ef972a0ed01730ee SHA512: 0c4afe1ec210fa9a712ac7e3f662cab5cc6a4104012158109081d9d1876e721e 047662ce56d8855670cc15f17639364295185020fabd9b8e2d1ee91643ad32ac ssdeep: 384:hCsTnFPR73gCcJtn1k+PvOYJLWy+Abfp6jGfD:35aCqh1VHXLEAbfpmM PEiD..: - TrID..: File type identification Generic Win/DOS Executable (49.9%) DOS Executable Generic (49.8%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x15236 timedatestamp.....: 0x482c3a64 (Thu May 15 13:28:04 2008) machinetype.......: 0x14c (I386) ( 7 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x804 0xa00 5.32 b93ae97d0aa1f1c0bfb327dca8c3f57f .rdata 0x2000 0x424 0x600 3.35 b5575eb7c92359b59a349f24e1b50a1f .data 0x3000 0x3c4 0x400 3.32 9f450fa8f3ca40f199bcb2c4a8b3db3f PAGE 0x4000 0xa6a 0xc00 5.88 e9f689c7b3e947018be0c043291535c5 INIT 0x5000 0x88a 0xa00 5.13 38ddfaca378b4fb61b2b0228864dda78 .rsrc 0x6000 0x3a0 0x400 3.12 a69ee7efec029bd63e8191d41416bfdf .reloc 0x7000 0x39a 0x400 4.99 350b709bcb990311d6404cb9601aa6d3 ( 2 imports ) > ntoskrnl.exe: memcpy, strncmp, ZwOpenKey, RtlAppendUnicodeToString, RtlAnsiStringToUnicodeString, RtlInitAnsiString, ObQueryNameString, KeTickCount, RtlUnwind, memmove, RtlFreeUnicodeString, wcschr, RtlAppendUnicodeStringToString, IoThreadToProcess, ExAllocatePoolWithTag, ExFreePoolWithTag, memset, RtlInitUnicodeString, IoGetDeviceObjectPointer, KeInitializeEvent, IoBuildDeviceIoControlRequest, ObfDereferenceObject, IofCallDriver, KeWaitForSingleObject, IoGetCurrentProcess, PsSetCreateProcessNotifyRoutine, ZwClose, KeBugCheckEx > FLTMGR.SYS: FltGetFileNameInformation, FltParseFileNameInformation, FltReleaseFileNameInformation, FltGetStreamHandleContext, FltSetCallbackDataDirty, FltSupportsStreamHandleContexts, FltAllocateContext, FltSetStreamHandleContext, FltReleaseContext, FltGetRequestorProcessId, FltRegisterFilter, FltBuildDefaultSecurityDescriptor, FltCreateCommunicationPort, FltFreeSecurityDescriptor, FltStartFiltering, FltCloseClientPort, FltUnregisterFilter, FltGetDiskDeviceObject ( 0 exports ) |
16.01.2009, 17:52 | #30 |
| Ständige Werbepopups ohne das der Browser offen ist?! Poste ein neues HJT-Log. Wie geht es dem Rechner? ciao, andreas |
Themen zu Ständige Werbepopups ohne das der Browser offen ist?! |
ad-aware, adobe, antivirus, avast, avast!, bho, browser, down, excel, explorer, firewall, hijack, hijackthis, internet, internet explorer, magix, outlook express, popup, problem, programme, rundll, security, server, software, system, teamspeak, windows, windows xp |