hallo,

ich habe probleme mit diesen nervigen popups von malware defense. folgendes ist passiert:

ich habe mir gestern über justin.tv einen stream angeschaut und irgendwann gab free antivir eine warnung aus. habe das betreffende löschen lassen doch kurze zeit später traten die popups auf.
die beiden prozesse extrac64_cab.exe und winhlp64.exe sind dabei wohl die übeltäter wenn ich diese beende habe ich ruhe.
das ganze tritt nur in meinem eingeschränkten benutzerkonto auf, auf meinem admin konto is gar nix.
spybot und free antivir finden nichts verdächtiges.
malwarebytes fand 2 sachen die ich gelöscht habe aber das problem ist immer noch da.

ich bin hier zuhause in einem netzwerk mit 2 rechnern per wlan über einen router mit dem internet verbunden.

das kuriose an der ganzen sache ist das mein bruder auf dem zweiten rechner nun genau das gleiche problem hat.
es trat aber erst stunden später bei ihm auf und mein rechner war zu der zeit die ganze zeit aus da ich weg musste und es erfolgte auch kein netzwerkzugriff auf meinen rechner von ihm aus.
was ist da nur los? dummer zufall oder ist dort irgendwas auf meinem router drauf?? oder vllt ein gezielter angriff auf meinen router??

hier nun das HijackThis logfile von meinem admin konto

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:25:34, on 24.01.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Security\Avira\AntiVir Desktop\sched.exe
D:\Security\Avira\AntiVir Desktop\avguard.exe
D:\System\Java\bin\jqs.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Dell\QuickSet\QuickSet.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
D:\Security\Avira\AntiVir Desktop\avgnt.exe
D:\System\Java\bin\jusched.exe
D:\Anwendungen\AdobeReader\Reader\Reader_sl.exe
C:\WINDOWS\system32\lexpps.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Security\Spybot - Search & Destroy\TeaTimer.exe
D:\Anwendungen\DAEMON Tools Lite\DTLite.exe
D:\Security\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.daemonsearch.com/intl/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.war-europe.com/#/news/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Security\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\System\Java\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\System\Java\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\QuickSet.exe
O4 - HKLM\..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [avgnt] "D:\Security\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\System\Java\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Anwendungen\AdobeReader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Security\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Anwendungen\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Security\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Security\SPYBOT~1\SDHelper.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Security\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Security\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\System\Java\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 5985 bytes


und hier das logfile von meinem internetkonto:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:27:17, on 24.01.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Dell\QuickSet\QuickSet.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
D:\Security\Avira\AntiVir Desktop\avgnt.exe
D:\System\Java\bin\jusched.exe
D:\Anwendungen\AdobeReader\Reader\Reader_sl.exe
C:\WINDOWS\system32\lexpps.exe
C:\WINDOWS\system32\ctfmon.exe
C:\DOKUME~1\SURF&F~1\LOKALE~1\Temp\extrac64_cab.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\DOKUME~1\SURF&F~1\LOKALE~1\Temp\winhlp64.exe
D:\Security\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Security\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\System\Java\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\System\Java\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\QuickSet.exe
O4 - HKLM\..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [avgnt] "D:\Security\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\System\Java\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Anwendungen\AdobeReader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LexPPS.exe] C:\WINDOWS\system32\lexpps.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [extrac64_cab.exe] C:\DOKUME~1\SURF&F~1\LOKALE~1\Temp\extrac64_cab.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Security\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Security\SPYBOT~1\SDHelper.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Security\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Security\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\System\Java\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 4549 bytes

HitmanPro 3.5
Download HitmanPro 3.5 und installiere es
Klicke Einstellungen >> Lizenzinformation und “Aktiviere die kostenlose Lizenz“fuer 30-Tage
Klicke weiter und der Scan faengt an,gefundene Infektionen entfernen und Rechner neu starten

Download link HitmanPro 3.5 32-Bit
Support : Windows XP, Vista, 2000, 2003, 2008 and Windows 7

Download link HitmanPro 3.5 64-Bit
Support : Windows XP x64 Edition, Vista x64 and Windows 7 x64

Installiere Malwarebytes Anti-Malware
Update das Programm und fuehre ein "Vollstaendigen Suchlauf“ durch
Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen

Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum

hitman pro erkennt die beiden exe dateien aber kann sie wohl nicht entfernen denn nach erneutem scan sind sie immer noch da

malwarebytes findet nichts aber hier die logfile

Malwarebytes' Anti-Malware 1.44
Database version: 3510
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

24.01.2010 13:27:24
mbam-log-2010-01-24 (13-27-24).txt

Scan type: Full Scan (C:\|)
Objects scanned: 97260
Time elapsed: 6 minute(s), 15 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)


beides im internetkonto ausgeführt

kannste du mir vllt zu der sache was sagen das es auf 2 rechnern auftritt???

Da Hitman kein Log erstellt kannst du ein screenshot machen uploaden mit hilfe von http://www.file-upload.net/
Und hier die Download link hinschreiben

Scanne mit GMER
Und poste das log

hitman erkennt halt die von mir schon erwähnten prozesse aber hier der screen



gmer stürzt ab bei mir das programm startet, scannt wohl irgendwas kurz und dann kommt anwendung muss beendet werden

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als del.bat mit 'Speichern unter' auf dem Desktop.
Gib an "Alle Dateien" - Speichern

Zitat:

@ECHO OFF
IF EXIST log.txt DEL log.txt
ECHO Deleting files>>log.txt
FOR %%g in (
C:\Dokumente und Einstellungen\Surf&Fun\Lokale Einstellungen\Temp\extrac64_cab.exe
C:\Dokumente und Einstellungen\Surf&Fun\Lokale Einstellungen\Temp\winhlp64.exe) DO (
IF EXIST %%g (
ATTRIB -r -s -h %%g
DEL %%g
IF EXIST %%g (
ECHO %%g not deleted>>log.txt
) ELSE (
ECHO %%g deleted>>log.txt)
) ELSE (
ECHO %%g not found>>log.txt))
START NOTEPAD.EXE log.txt

Doppelklick del.bat und poste den Inhalt vom Log

Und scanne nochmal mit HP35

die bat im internetkonto ausgeführt

log:

Deleting files


die beiden exe dateien sind laut hitman immer noch da wurden also wohl nicht gelöscht durch die bat

soll ich die bat mal als admin ausführen??

Hast du HP35 vorher schonmal benutzt?

Zitat:

soll ich die bat mal als admin ausführen??

Ja

so die bat nochmal im adminkonto ausgeführt aber gleiches ergebnis

nun hab ich aber auch hp35 mal als admin ausgeführt und er konnte sie nun wohl entfernen

keine popups mehr und ein erneuter scan sagt auch es ist sauber

beim neustart nach dem scan kam beim hochfahren nen windowsscreen mit irgendwas von "Hitman Surfright bv" oder so ist das normal???

hast du vllt ne idee zu der anfangs geschilderten situation das 2 rechner infiziert wurden??

ansonsten nen ganz dickes DANKE für die schnelle und wohl auch erfolgreiche hilfe

Das einzige was ich weiss,ist das diese Fakescanner wie Malware Defense übers Internet hüpfen
Wenn so ein Pop-up kommt ist das einzige richtige um diesen Prozess zu beenden
Rechtsklick auf den Taskmanager>>Eigenschaften>>Anwendungen und Task beenden
Wenn man zulange wartet wird immer etwas installiert

Die machen wohl Werbung fuer HP35

Anscheinend ist zur Zeit nicht moeglich Malwarebytes zu updaten

Halte aber immer dein Rechner Up-to-date

Bei HP35 sind 30-Tage auch wirlich 30-Tage
Besser ist es um es wieder zu entfernen

ps
Und ich werde mich mit die Jungs von HP35 in verbindung setzen fuer eine Anleitung
Danke fuer den Tipp

Zitat:

nun hab ich aber auch hp35 mal als admin ausgeführt und er konnte sie nun wohl entfernen

ok alles klar danke nochmals der andere rechner scheint auch wieder clean zu sein.

hp35 scheint ja nen echt leistungsfähiges tool zu sein das in kombi mit Malwarebytes is ja fast unschlagbar