![]() |
|
Plagegeister aller Art und deren Bekämpfung: Viele Trojaner, Adware, selbstständig öffnende I-Net-Explorer - Fenster und und und...Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
![]() | ![]() Viele Trojaner, Adware, selbstständig öffnende I-Net-Explorer - Fenster und und und... So, Hallo erstmal an alle, bin ganz neu hier, also bitte nicht steinigen wenn ich etwas falsch mache... ![]() Also ich habe folgendes Problem: (an dem ich wahrscheinlich selber schuld bin) Ich war gestern in MSN online, bekam einen Link von einem "bekannten"... (...der Link endete auf .jpg) Natürlich völlig vertieft in die Musik klickte ich auf den link... Es kam mir nur komisch vor, das darauf nichts passierte... Kurz darauf öffneten sich immer wieder einzelne Internetexplorer-Seiten, teils mit Inhalt (Werbung ...), teils auch völlig leer... Und dann fing das Schauspiel an: Avira schmiss mir eine Trojaner-Meldung nach der anderen vor die Füße... Ich nenne mal ein Paar: tr/dropper tr/downloader tr/fraudpack tr/bho tr/fakeallert ...... usw. Hab mal bissl was an Programmen laufen lassen (Hijack, Malwarebytes, SUPERAntiSpyware) Hier die dazugehörigen Logfiles: Hijackthis - Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:14:38, on 18.06.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Avira\AntiVir Desktop\sched.exe C:\Program Files\Avira\AntiVir Desktop\avguard.exe C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Avira\AntiVir Desktop\avshadow.exe C:\WINDOWS\System32\TUProgSt.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\ISUSPM.exe C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Documents and Settings\Administrator\Application Data\winscdnr.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://home.sweetim.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: (no name) - {EEE6C35D-6118-11DC-9C72-001320C79847} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [Conceptronic Conceptronic 54Mbps Wireless Utility] C:\Program Files\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [ISUSPM] "C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ7.1\ICQ.exe" silent loginmode=4 O4 - HKCU\..\Run: [Windows Firewall Service] C:\Documents and Settings\Administrator\Application Data\winscdnr.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKCU\..\Run: [M5T8QL3YW3] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Cz2.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Program Files\ICQ7.1\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Program Files\ICQ7.1\ICQ.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - hxxp://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1205436973119 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1205437178203 O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - hxxp://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe -- End of file - 8357 bytes Malwarebytes - Log: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4210 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 18.06.2010 05:33:33 mbam-log-2010-06-18 (05-33-33).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 183593 Laufzeit: 5 Stunde(n), 18 Minute(n), 45 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 9 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 4 Infizierte Dateien: 15 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: c:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\V71IQL7HI7 (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\M5T8QL3YW3 (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\WebMediaPlayer (Rogue.WebMedia) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\v71iql7hi7 (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\m5t8ql3yw3 (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Program Files\WebMediaPlayer (Adware.EGDAccess) -> Quarantined and deleted successfully. C:\Program Files\WebMediaPlayer\resources (Adware.EGDAccess) -> Quarantined and deleted successfully. C:\Program Files\WebMediaPlayer\skins (Adware.EGDAccess) -> Quarantined and deleted successfully. C:\Program Files\WebMediaPlayer\updates (Adware.EGDAccess) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Documents and Settings\Administrator\Local Settings\Temp\4991.exe (Trojan.FraudPack) -> Quarantined and deleted successfully. C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\LOZPMWTO\ee[1].exe (Trojan.FraudPack) -> Quarantined and deleted successfully. C:\Program Files\WebMediaPlayer\sqlite3.dll (Adware.EGDAccess) -> Quarantined and deleted successfully. C:\Program Files\WebMediaPlayer\resources\languages_v2.xml (Adware.EGDAccess) -> Quarantined and deleted successfully. C:\Program Files\WebMediaPlayer\resources\webmedias (Adware.EGDAccess) -> Quarantined and deleted successfully. C:\Program Files\WebMediaPlayer\skins\classic.skn (Adware.EGDAccess) -> Quarantined and deleted successfully. C:\Documents and Settings\Administrator\Local Settings\Temp\Cz3.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> Delete on reboot. C:\Documents and Settings\Administrator\Local Settings\Temp\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Documents and Settings\Administrator\Local Settings\Application Data\uuauc_nav.dat (Adware.NaviPromo) -> Quarantined and deleted successfully. C:\Documents and Settings\Administrator\Local Settings\Application Data\uuauc_navps.dat (Adware.NaviPromo) -> Quarantined and deleted successfully. C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Documents and Settings\Administrator\Local Settings\Temp\Czx.exe (Trojan.FakeAlert) -> Delete on reboot. C:\Program Files\ICQToolbar\toolbaru.dll (Trojan.BHO) -> Quarantined and deleted successfully. SUPERAntiSpyware Log: SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 06/18/2010 at 08:18 AM Application Version : 4.39.1002 Core Rules Database Version : 5057 Trace Rules Database Version: 2869 Scan type : Complete Scan Total Scan Time : 01:31:39 Memory items scanned : 447 Memory threats detected : 0 Registry items scanned : 7984 Registry threats detected : 9 File items scanned : 24133 File threats detected : 180 Adware.Tracking Cookie C:\Documents and Settings\Administrator\Cookies\administrator@atdmt[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@go.dynamic-tracking[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@adtech[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@ads4.net2day[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@tradedoubler[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@euros4click[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@bluestreak[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@game-advertising-online[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@300002139009955[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@1069647890[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@adserver.adtechus[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@condor[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@adserver1.interwall[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@hamburg[4].txt C:\Documents and Settings\Administrator\Cookies\administrator@groupmtrack[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@www.etracker[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@ad.hbv[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@myroitracking[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@komtrack[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@webmasterplan[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@msnportal.112.2o7[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@a3.adserver01[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@ad.zanox[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@tracking.quisma[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@zbox.zanox[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@2o7[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@tribalfusion[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@ads.mitfahrzentrale[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@at.atwola[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@mbb[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@1047393847[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@adserver.71i[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@ads.admediate[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@ad1.king[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@adfarm1.adition[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@tracknet.twyn[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@cgi-bin[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@bs.serving-sys[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@ads.adshopping[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@sport1[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@ads.medienhaus[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@im.banner.t-online[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@content.yieldmanager[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@ads3.net2day[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@atwola[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@ads.teleint[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@hamburg[3].txt C:\Documents and Settings\Administrator\Cookies\administrator@adsrv.admediate[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@eas.apm.emediate[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@weborama[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@sixtgmbh.112.2o7[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@doubleclick[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@indextools[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@ad.71i[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@ad.adition[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@rotator.adjuggler[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@serving-sys[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@tracking.mindshare[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@traffictrack[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@a6.adserver01[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@ads.moveco[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@ad.adnet[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@zanox-affiliate[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@a7.adserver01[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@advertising[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@sevenoneintermedia.112.2o7[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@www.zanox-affiliate[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@ads.heias[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@ads.gamershell[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@ads2.net2day[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@ads.pointroll[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@ak[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@adserver.easyad[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@ad.yieldmanager[3].txt C:\Documents and Settings\Administrator\Cookies\administrator@ad.beepworld[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@tracking.3gnet[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@adopt.euroclick[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@html[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@sport1-de[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@247realmedia[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@tacoda[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@track.adform[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@clicks.pangora[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@smartadserver[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@1071817748[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@server.cpmstar[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@tcook[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@ad.adnet[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@tto2.traffictrack[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@apmebf[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@clicksor[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@77tracking[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@ads.creative-serving[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@1065944648[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@revsci[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@ads.easy-forex[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@pro-market[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@adserving.claxon[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@overture[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@ad[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@pointroll[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@statcounter[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@counter.sexsuche[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@fastclick[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@mediaplex[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@collective-media[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@xml.trafficengine[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@zanox[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@de2.komtrack[2].txt C:\Documents and Settings\Administrator\Cookies\administrator@exoclick[2].txt bc.youporn.com [ C:\Documents and Settings\Administrator\Application Data\Macromedia\Flash Player\#SharedObjects\VZS75DK8 ] cdn5.specificclick.net [ C:\Documents and Settings\Administrator\Application Data\Macromedia\Flash Player\#SharedObjects\VZS75DK8 ] hs.interpolls.com [ C:\Documents and Settings\Administrator\Application Data\Macromedia\Flash Player\#SharedObjects\VZS75DK8 ] imagesrv.adition.com [ C:\Documents and Settings\Administrator\Application Data\Macromedia\Flash Player\#SharedObjects\VZS75DK8 ] m.de.2mdn.net [ C:\Documents and Settings\Administrator\Application Data\Macromedia\Flash Player\#SharedObjects\VZS75DK8 ] media.mtvnservices.com [ C:\Documents and Settings\Administrator\Application Data\Macromedia\Flash Player\#SharedObjects\VZS75DK8 ] media.rofl.to [ C:\Documents and Settings\Administrator\Application Data\Macromedia\Flash Player\#SharedObjects\VZS75DK8 ] oddcast.com [ C:\Documents and Settings\Administrator\Application Data\Macromedia\Flash Player\#SharedObjects\VZS75DK8 ] pornoprinzen.com [ C:\Documents and Settings\Administrator\Application Data\Macromedia\Flash Player\#SharedObjects\VZS75DK8 ] s0.2mdn.net [ C:\Documents and Settings\Administrator\Application Data\Macromedia\Flash Player\#SharedObjects\VZS75DK8 ] spe.atdmt.com [ C:\Documents and Settings\Administrator\Application Data\Macromedia\Flash Player\#SharedObjects\VZS75DK8 ] static.youporn.com [ C:\Documents and Settings\Administrator\Application Data\Macromedia\Flash Player\#SharedObjects\VZS75DK8 ] vidii.hardsextube.com [ C:\Documents and Settings\Administrator\Application Data\Macromedia\Flash Player\#SharedObjects\VZS75DK8 ] www.alphaporno.com [ C:\Documents and Settings\Administrator\Application Data\Macromedia\Flash Player\#SharedObjects\VZS75DK8 ] www.fucktube.com [ C:\Documents and Settings\Administrator\Application Data\Macromedia\Flash Player\#SharedObjects\VZS75DK8 ] www.naiadsystems.com [ C:\Documents and Settings\Administrator\Application Data\Macromedia\Flash Player\#SharedObjects\VZS75DK8 ] www.pornhub.com [ C:\Documents and Settings\Administrator\Application Data\Macromedia\Flash Player\#SharedObjects\VZS75DK8 ] www.sexkiste.com [ C:\Documents and Settings\Administrator\Application Data\Macromedia\Flash Player\#SharedObjects\VZS75DK8 ] www.sextube.com [ C:\Documents and Settings\Administrator\Application Data\Macromedia\Flash Player\#SharedObjects\VZS75DK8 ] www.teenist.com [ C:\Documents and Settings\Administrator\Application Data\Macromedia\Flash Player\#SharedObjects\VZS75DK8 ] youporn.videobox.com [ C:\Documents and Settings\Administrator\Application Data\Macromedia\Flash Player\#SharedObjects\VZS75DK8 ] youporncams.com [ C:\Documents and Settings\Administrator\Application Data\Macromedia\Flash Player\#SharedObjects\VZS75DK8 ] .hitbox.com [ C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\q0xptpv5.default\cookies.sqlite ] .ehg-upcchellomedia.hitbox.com [ C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\q0xptpv5.default\cookies.sqlite ] .hitbox.com [ C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\q0xptpv5.default\cookies.sqlite ] .xiti.com [ C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\q0xptpv5.default\cookies.sqlite ] www.etracker.de [ C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\q0xptpv5.default\cookies.sqlite ] .imrworldwide.com [ C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\q0xptpv5.default\cookies.sqlite ] .imrworldwide.com [ C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\q0xptpv5.default\cookies.sqlite ] .account.live.com [ C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\q0xptpv5.default\cookies.sqlite ] .account.live.com [ C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\q0xptpv5.default\cookies.sqlite ] .msnaccountservices.112.2o7.net [ C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\q0xptpv5.default\cookies.sqlite ] .stopzilla.com [ C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\q0xptpv5.default\cookies.sqlite ] www.stopzilla.com [ C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\q0xptpv5.default\cookies.sqlite ] .stopzilla.com [ C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\q0xptpv5.default\cookies.sqlite ] .stopzilla.com [ C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\q0xptpv5.default\cookies.sqlite ] C:\Documents and Settings\Administrator\Cookies\administrator@counterservice[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@ad.yieldmanager[1].txt C:\Documents and Settings\Administrator\Cookies\administrator@accounts[5].txt C:\Documents and Settings\Administrator\Cookies\administrator@accounts[3].txt C:\Documents and Settings\Administrator\Cookies\administrator@accounts[1].txt Adware.Flash Tracking Cookie C:\Documents and Settings\Administrator\Application Data\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\VZS75DK8\BC.YOUPORN.COM C:\Documents and Settings\Administrator\Application Data\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\VZS75DK8\STATIC.YOUPORN.COM C:\Documents and Settings\Administrator\Application Data\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\VZS75DK8\MEDIA.MTVNSERVICES.COM C:\Documents and Settings\Administrator\Application Data\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\VZS75DK8\MEDIA.ROFL.TO C:\Documents and Settings\Administrator\Application Data\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\VZS75DK8\WWW.SEXTUBE.COM C:\Documents and Settings\Administrator\Application Data\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\VZS75DK8\SPE.ATDMT.COM C:\Documents and Settings\Administrator\Application Data\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\VZS75DK8\WWW.NAIADSYSTEMS.COM C:\Documents and Settings\Administrator\Application Data\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\VZS75DK8\M.DE.2MDN.NET C:\Documents and Settings\Administrator\Application Data\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\VZS75DK8\HS.INTERPOLLS.COM C:\Documents and Settings\Administrator\Application Data\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\VZS75DK8\IMAGESRV.ADITION.COM C:\Documents and Settings\Administrator\Application Data\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\VZS75DK8\ODDCAST.COM Trojan.Agent/Gen-SSHNAS HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS#NextInstance HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS\0000 HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS\0000#Service HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS\0000#Legacy HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS\0000#ConfigFlags HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS\0000#Class HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS\0000#ClassGUID HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS\0000#DeviceDesc Trojan.Agent/Gen-CDesc[Broad] C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\C0F.EXE C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\C0B.EXE C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\C0C.EXE C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\C0E.EXE C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\C0H.EXE C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\C0I.EXE C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\CZ2.EXE C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\CZ4.EXE C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\CZ5.EXE C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\CZ6.EXE C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\CZ8.EXE C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\CZ9.EXE C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\CZW.EXE C:\WINDOWS\CRUMYA.EXE C:\WINDOWS\CRUMYB.EXE C:\WINDOWS\CRUMYC.EXE Trojan.Agent/Gen-Nullo[Short] C:\SYSTEM VOLUME INFORMATION\_RESTORE{8DFDD5E5-3DA1-4B56-8585-83D038B6F1A4}\RP346\A0179264.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{8DFDD5E5-3DA1-4B56-8585-83D038B6F1A4}\RP346\A0179267.DLL So das wärs dann mal vorerst von meiner Seite gewesen... Hoffe das ihr mit diesen Infos arbeiten könnt und bedanke mich schonmal im Voraus für Hilfe. Grüße, Max (und nein, ich weiß nicht wo diese ganzen Schmuddel- Links aus den Logfiles herkommen..................) |
![]() | #2 |
/// Selecta Jahrusso ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Viele Trojaner, Adware, selbstständig öffnende I-Net-Explorer - Fenster und und und...![]() Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist. Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Schritt 1 Temp File Cleaner Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop. Schließe nun alle offenen Programme und trenne Dich von dem Internet. Doppelklick auf die TFC.exe Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen. Schritt 2 Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird** ![]() ![]()
Schritt 3 CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter netsvcs %SYSTEMDRIVE%\*.* %systemroot%\*. /mp /s CREATERESTOREPOINT %systemroot%\system32\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\system32\drivers\*.sys /90 %systemroot%\system32\user32.dll /md5 %systemroot%\system32\ws2_32.dll /md5 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList|helpassistant /rs
Bitte poste in Deiner nächsten Antwort COmbofix.txt OTL.txt Gmer.txt
__________________ |
![]() | #3 |
![]() | ![]() Viele Trojaner, Adware, selbstständig öffnende I-Net-Explorer - Fenster und und und... Hallo Larusso,
__________________ich danke dir für deine Schnelle Antwort... Ich habe diese Logfiles von einem "Sicheren System" aus gepostet... Auf dem Befallenen Laptop läuft Windows XP... (soll mir das mittlerweile peinlich sein...???) Und in der Anleitung steht "...für Vista und Windows 7". Kann ich das trotzdem anwenden??? Grüße, Max |
![]() | #4 |
/// Selecta Jahrusso ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Viele Trojaner, Adware, selbstständig öffnende I-Net-Explorer - Fenster und und und... Kwasi du sitzt auf hinter einem zweiten Rechner ? Ja das mit vista und win7 ist ne spezialanleitung nur für diese beiden Betriebssysteme. (als admin ausführen braucht man mit XP nicht) Ich nutze selber XP Entweder du gehst mit dem Infizierten Rechner online und ladest dir die Tools herunter oder du machst es via USB. Solltest Du dich für den USB weg entscheiden bitte noch folgendes. (auf den sauberen Rechner ausführen) Desinfizierung/Absicherung externer Medien Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab. Gehe nun wie folgt vor:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, so dass dein Datenträger in Zukunft vor dieser Infektion geschützt ist. Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
![]() | #5 |
![]() | ![]() Viele Trojaner, Adware, selbstständig öffnende I-Net-Explorer - Fenster und und und... OK Alles klar, Ich werde mit dem Infizierten Laptop vorgehen... ... den mehr als kaputt gehen kann dieser ja nicht... ![]() Wird nur etwas dauern, der schnellste ist er nichtmehr... |
![]() | #6 |
![]() | ![]() Viele Trojaner, Adware, selbstständig öffnende I-Net-Explorer - Fenster und und und... Combo-Fix sagt bei mir, dass es nur mit Windows 2000 un XP kompatibel ist... (wie gesagt, ich habe XP)... Dann kamen ein paar Fehlermeldungen, dass diese und jene Datei nicht gefunden werden konnte... Und jetzt hat er einen Neustart gemacht... Ist das Normal ??? |
![]() | #7 |
/// Selecta Jahrusso ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Viele Trojaner, Adware, selbstständig öffnende I-Net-Explorer - Fenster und und und... Poste mal die OTL Logfiles
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
![]() | #8 |
![]() | ![]() Viele Trojaner, Adware, selbstständig öffnende I-Net-Explorer - Fenster und und und... Eben hat sich ein Fenster mit blauen Hiintergrund geöffnet: "Combofix wird vorbereitet, um ausgeführt zu werden. The System cannot find the FileCFVersionOld. Versuche, einen neuen Systemwiederherstellungspunkt zu erstellen" Soll ich das tun ? €dit: Ich besitze keine Microsoft-Wiederherstellungskonsole... oO Combofix sagt, ich soll sie runterladen... dann werde ich das tun... |
![]() | #9 |
/// Selecta Jahrusso ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Viele Trojaner, Adware, selbstständig öffnende I-Net-Explorer - Fenster und und und... folge den anweisungen am desktop
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
![]() |
Themen zu Viele Trojaner, Adware, selbstständig öffnende I-Net-Explorer - Fenster und und und... |
ad.yieldmanager, adfarm, adware, adware.egdaccess, adware.navipromo, antivir, antivir guard, avira, bonjour, browser, desktop, excel, exoclick, firefox, flash player, google, hijack, index, internet explorer, malwarebytes' anti-malware, mozilla, musik, plug-in, problem, rogue.webmedia, rundll, senden, software, superantispyware, system, trojaner, werbung, windows, windows xp |