Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Problem mit hartnäckiger Adware (https://www.trojaner-board.de/15559-problem-hartnaeckiger-adware.html)

Nevermore 19.03.2005 00:06
Problem mit hartnäckiger Adware
 
Moin,

ich brauch mal kompetente Hilfe. Und zwar hab ich hier den Rechner eines Bekannten stehen, der über Werbung und Viren klagte. Virenscanner, Adaware und Spybot fanden und entfernten auch einiges, aber das Werbeproblem blieb bestehen.

HijackThis findet (noch) folgendes

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 00:00:15, on 19.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Dokumente und Einstellungen\DG\Desktop\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O20 - Winlogon Notify: Group Policy - C:\WINDOWS\system32\t48ulel91hq.dll
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: xControlCOM - Siemens - D:\Programme\T-Sinus 721\T-Sinus 721 PC\xControlCOM.exe
Die laufenden Prozesse scheinen alle zu Win oder zur T-Online-Software zu gehören. Aber die fetten Einträge erscheinen immer wieder, trotz wiederholten Entfernens. Die .dll ist aber immer wieder eine andere. Der Dateiname ist aber immer eine Zahlen-Buchstaben-Kombination nach dem selben Prinzip. Auch ein Löschen der jeweiligen .dll per delete-on-reboot aus dem abgesicherten Modus heraus half nicht.

Bin für jede Anregung dankbar,

Lutz 19.03.2005 00:23
Auch hier 'spielt' sich imho einiges im Verborgenen ab.
Da du sagst, es ist ein Rechner eines Bekannten, vermute ich, dass Du folgende Möglichkeit hast.
Schließe die Platte mal in einem anderen anderen Rechner als 'Slave' an und scanne diese dann mit eScan (siehe Signatur).
Auf das Log von eScan bin ich gespannt!

Nevermore 19.03.2005 13:41
Ich hab die Platte bei mir eingebaut und die Systempartition mit eScan geprüft: Er findet nichts.

Aber der Onlinescanner aus deiner Sig findet in der t48ulel91hq.dll folgendes

Zitat:
Kaspersky Anti-Virus
not-a-virus:AdWare.Look2Me.ab (2.04 Sekunden)

Lutz 19.03.2005 13:52
Hast Du eScan vorher -wie beschrieben- aktualisiert?
eScan nutzt die Signaturen von Kaspersky. Und wenn KAV den findet, sollte eScan den auch finden.

Nevermore 19.03.2005 14:07
Zitat:
Zitat von Lutz
Hast Du eScan vorher -wie beschrieben- aktualisiert?
eScan nutzt die Signaturen von Kaspersky. Und wenn KAV den findet, sollte eScan den auch finden.
Hab ich. Ich verstehs auch nicht. Zumal bei mir auch Kaspersky als Virenscanner läuft und der den auch nicht findet. Man weiß es nicht!

Edit: Hm, das läßt sich aber dadurch erklären, daß der nicht die erweiterten Datenbanken nutzte. Ich stell das mal gerade um und scanne die Platte nochmal und meld mich dann wieder.

nochmal Edit: Er scannt gerade und findet doch noch ne Menge.

Nevermore 19.03.2005 20:05
Gaaaaaaanz viele solche dlls wurden noch mit dem Kasperskyscan entfernt und jetzt scheint es wieder zu laufen. Danke!

Was mich aber noch interessieren würde ist wie zur Hölle man es schafft seinen Rechner so zuzumüllen? Ich habe in jahrelanger Windowsnutzung noch nie solche Probleme mit Adware oder Viren gehabt. Wenn man nicht alles anklickt was bunt blinkt sollte so was doch eigentlich nicht passieren.

chaosman 19.03.2005 22:37
@Nevermore
dein freund benützt wahrscheinlich nur den IE, lass ihm mal auf den firefox umsteigen und sich mal gedanken machen über sein surfverhalten
mal was zum nachlesen
http://www.ntsvcfg.de/linkblock.html
http://www.emsisoft.de/de/kb/articles/tec040105/
http://www.datenschutzzentrum.de/sel...sie/config.htm
http://www.blafusel.de/ie.html
http://www.trojaner-board.com/showthread.php?t=9546


chaosman


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:02 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131