|
Log-Analyse und Auswertung: Pop-Up-ProblemeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
13.11.2004, 04:47 | #1 |
| Pop-Up-Probleme Hallo, wieder habe ich Probleme mit PopUps. Diesmal von Ebay. Kann mir jemand mit mit dem logfile helfen, bitte? Logfile of HijackThis v1.98.2 Scan saved at 10:45:23 PM, on 12/11/2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZCfgSvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Grisoft\AVG7\avgcc.exe C:\Programme\Grisoft\AVG7\avgwa.dat C:\Dokumente und Einstellungen\Christoph\Desktop\virenkram\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.merriam-webstercollegiate.com/ O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Programme\CxtPls\CxtPls.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [USB controller] "C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\svcmm32.exe" /startup O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O4 - HKLM\..\Run: [rsok3tR] msflv.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [aB7qRjdpO] oemhlpr.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093796808210 O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab Vielen herzlichen Dank. Stoff |
13.11.2004, 08:43 | #2 |
| Pop-Up-Probleme @Stoff
__________________ist dieses logfile in den nomalen modus gemacht? von www.clearprog.de clearprog downloaden. starten und bei Windows und IE alle häkchen setzen und löschen gebe bitte HJT einen eigenen ordner diese dateien online überprüfen lassen msflv.exe und oemhlpr.exe und zwar hier das ergebnis später posten wechsle in den abgesicherten modus und fixe O4 - HKLM\..\Run: [USB controller] "C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\svcmm32.exe" /startup danach diesen datei manuell löschen C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\svcmm32.exe chaosman
__________________ |
13.11.2004, 17:15 | #3 |
| Pop-Up-Probleme Hallo,
__________________das HJT-logfile erstellte ich im abgesicherten Modus. Das war wahrscheinlich eine schlechte Idee, da man ja wohl daran interessiert ist, was im normalen Modus so alles geladen wird. Hier nun die Überprüfung auf Viren der beiden Dateien: File: msflv.exe Status: INFECTED/MALWARE Packers detected: None AntiVir No viruses found (0.15 seconds taken) Avast No viruses found (1.51 seconds taken) BitDefender No viruses found (0.34 seconds taken) ClamAV No viruses found (0.29 seconds taken) Dr.Web No viruses found (0.49 seconds taken) F-Prot Antivirus No viruses found (0.06 seconds taken) Kaspersky Anti-Virus Trojan-Downloader.Win32.Apropo.n (0.58 seconds taken) mks_vir No viruses found (0.21 seconds taken) NOD32 No viruses found (0.36 seconds taken) Norman Virus Control No viruses found (1.11 seconds taken) und File: oemhlpr.exe Status: INFECTED/MALWARE Packers detected: None AntiVir No viruses found (0.15 seconds taken) Avast No viruses found (1.51 seconds taken) BitDefender No viruses found (0.33 seconds taken) ClamAV No viruses found (0.33 seconds taken) Dr.Web No viruses found (0.49 seconds taken) F-Prot Antivirus No viruses found (0.06 seconds taken) Kaspersky Anti-Virus Trojan-Downloader.Win32.Apropo.o (0.58 seconds taken) mks_vir No viruses found (0.20 seconds taken) NOD32 No viruses found (0.36 seconds taken) Norman Virus Control No viruses found (1.24 seconds taken) Beide Dateien sind verseucht. Woran erkenne ich denn, daß ich diese Dateien zu überprüfen habe? Hier nun ein HJT-logfile, das ich im normalen Modus erstellte: Logfile of HijackThis v1.98.2 Scan saved at 11:15:28 AM, on 13/11/2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\ZCfgSvc.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Apoint2K\Apoint.exe C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE C:\WINDOWS\SOINTGR.EXE C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\PROGRA~1\Grisoft\AVG7\avgemc.exe C:\WINDOWS\system32\msflv.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\Apoint2K\Apntex.exe C:\dokume~1\christ~1\lokale~1\temp\180ax.exe C:\WINDOWS\tqbmj.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\oemhlpr.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\System32\RegSrvc.exe C:\WINDOWS\System32\RoamMgr.exe C:\WINDOWS\System32\1XConfig.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\CxtPls\CxtPls.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.merriam-webstercollegiate.com/ O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Programme\CxtPls\CxtPls.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O4 - HKLM\..\Run: [rsok3tR] msflv.exe O4 - HKLM\..\Run: [180ax] c:\dokume~1\christ~1\lokale~1\temp\180ax.exe O4 - HKLM\..\Run: [tqbmj] C:\WINDOWS\tqbmj.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [aB7qRjdpO] oemhlpr.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093796808210 O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab Viele Grüße Stoff |
13.11.2004, 17:26 | #4 | |
| Pop-Up-Probleme Hallo Stoff, überprüfe Dein System bitte zusätzlich mit den eScan - laut Anweisung. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre). Zitat:
SD |
13.11.2004, 19:01 | #5 |
Gast | Pop-Up-Probleme Schick die Dateien msflv.exe und oemhlpr.exe bitte vorher noch an partytime-germany.ice@web.de Es handelt sich um relativ neue Malware, die noch nicht von allen AV-Herstellern erkannt wird. |
13.11.2004, 22:15 | #6 |
| Pop-Up-Probleme Hallo, die beiden Dateien habe ich weitergeleitet. EScan hat auch nichts weiteres gefunden. Sat Nov 13 13:16:56 2004 => File C:\WINDOWS\system32\msflv.exe infected by "Trojan-Downloader.Win32.Apropo.n" Virus. Action Taken: No Action Taken. Sat Nov 13 13:17:10 2004 => File C:\WINDOWS\system32\oemhlpr.exe infected by "Trojan-Downloader.Win32.Apropo.o" Virus. Action Taken: No Action Taken. Wie werde ich diesen Schund nun los? Stoff |
13.11.2004, 22:24 | #7 |
Administrator, a.D. | Pop-Up-Probleme Indem du diese Einträge im abgesicherten Modus fixed (Haken setzen und auf Fix Checked klicken): R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.merriam-webstercollegiate.com/ O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Programme\CxtPls\CxtPls.dll O4 - HKLM\..\Run: [rsok3tR] msflv.exe O4 - HKLM\..\Run: [180ax] c:\dokume~1\christ~1\lokale~1\temp\180ax.exe O4 - HKLM\..\Run: [tqbmj] C:\WINDOWS\tqbmj.exe O4 - HKCU\..\Run: [aB7qRjdpO] oemhlpr.exe Danach die oben genannten Dateien manuell entfernen. |
14.11.2004, 16:00 | #8 |
| Pop-Up-Probleme Hallo, eine Datei wurde übersehen: File: AutoUpdate.exe Status: INFECTED/MALWARE Packers detected: None AntiVir No viruses found (0.16 seconds taken) Avast No viruses found (1.51 seconds taken) BitDefender Adware.POP.dl (0.33 seconds taken) ClamAV No viruses found (0.35 seconds taken) Dr.Web No viruses found (0.52 seconds taken) F-Prot Antivirus W32/Apropo.C@dl (0.06 seconds taken) Kaspersky Anti-Virus TrojanDownloader.Win32.Apropo.g (0.58 seconds taken) mks_vir .Pop (0.19 seconds taken) NOD32 Win32/TrojanDownloader.Apropo.G (0.36 seconds taken) Norman Virus Control No viruses found (0.98 seconds taken) Diese Datei fand AVG, beim EScan tauchte sie nicht auf. Gehe ich mit dieser Datei wie oben empfohlen um? Stoff |
14.11.2004, 16:20 | #9 |
| Pop-Up-Probleme Hallo, die Aktionen habe ich ausgeführt. Hier nun wieder ein HJT-logfile: Logfile of HijackThis v1.98.2 Scan saved at 10:18:40 AM, on 14/11/2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\System32\RegSrvc.exe C:\WINDOWS\System32\RoamMgr.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\ZCfgSvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\1XConfig.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Apoint2K\Apoint.exe C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE C:\WINDOWS\SOINTGR.EXE C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\PROGRA~1\Grisoft\AVG7\avgemc.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Apoint2K\Apntex.exe C:\hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093796808210 O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab Jetzt sieht doch alles schön aus, oder? Aber was ist mit dieser autoupdate.exe? Stoff |
Themen zu Pop-Up-Probleme |
adobe, avg, bho, boot, button, ctfmon.exe, desktop, einstellungen, explorer, helfen, hijack, hijackthis, icq, internet, internet explorer, logfile, messenger, microsoft, probleme, programme, software, sun java, system, system32, temp, usb, windows, windows messenger, windows xp |