Trojaner-Board - Werbungs-Pop-UPs im IE nach NetPuper-Installation

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Werbungs-Pop-UPs im IE nach NetPuper-Installation (https://www.trojaner-board.de/17396-werbungs-pop-ups-ie-netpuper-installation.html)

Werbungs-Pop-UPs im IE nach NetPuper-Installation

Hallo,
ich habe mir vor kurzem das Download-Prog NetPumper gezogen und installiert, danach hatte ich erst mal massenhaft spyware auf meinem rechner. als ich festgestellt hatte, dass mir das Programm nicht so zusagt hab ichs wieder deinstalliert, die spyware war trotzdem noch drauf. Ich hab danach Spybot: S&D drüberlaufenlassen und es hat ca. 10-15 einträge gefunden. leider wird aber immer noch werbung eingeblendet, wenn ich den internet explorer öffne und das nervt einfach :koch: . ich hab mal Hijack This ausprobiert:

Logfile of HijackThis v1.99.1
Scan saved at 07:12:31, on 04.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
f:\Programme\Ahead\InCD\InCDsrv.exe
f:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Cherry\CDI\CDI.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\DSentry.exe
F:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
F:\PROGRA~1\MTRAFFIC\MT.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Lars\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: IEHelperObj Class - {6754A456-BAD9-11D4-93D3-00B0D03A2F91} - F:\PROGRA~1\Odigo\Bin\OdigoBHO.dll (file missing)
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - F:\Programme\GMX\GMX Toolbar\Update\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [InCD] f:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CherryKeyman] "C:\Programme\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [BDMCon] C:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\progra~1\softwin\bitdef~1\bdnagent.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Meine Traffic] F:\PROGRA~1\MTRAFFIC\MT.EXE
O4 - HKCU\..\Run: [idol real] C:\DOKUME~1\Lars\ANWEND~1\TOOLBO~1\first view.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\keyman\IEMenuExtKeyman.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - F:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/...r/PROFILER.CAB
O20 - Winlogon Notify: WB - F:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - C:\Programme\Cherry\CDI\CDI.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - f:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

kann vieleicht jemand nen verdächtigen eintrag finden? oder an was könnte es noch liegen, das ständig jedesmal beim starten von IE sich ein neues fenster (wie Pop-UP) mit werbung öffnet? Pop-UP-Blocker von IE is übrigens aktiviert. bitte schlagt nicht vor, einen anderen browser zu nehmen, dies ist keine alternative für mich.
Danke für eure mühen.

@JackTheCDRipper

Zitat:

O4 - HKCU\..\Run: [idol real] C:\DOKUME~1\Lars\ANWEND~1\TOOLBO~1\first view.exe

Für mich kommt nur dieser Eintrag infrage.
Mach bitte noch Folgendes:
1.Systemwiederherstellung abschalten
2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.
3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen.
4. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten.

wie kann ich die systemwiederherstellung abschalten, unter systemsteuerung?

Zitat:

Zitat von JackTheCDRipper

wie kann ich die systemwiederherstellung abschalten, unter systemsteuerung?

Auf Link klicken, lesen.

so: hab die systemwiederherstellung ausgeschaltet, mit dem bereinigungsprog die temp-ordner usw gelöscht. escan hab ich nicht ausgeführt, dafür hab ich mit bitdefender 8 suchen lassen und er hat was gefunden:

//-----------------------------------------------------------------
//
// Product: BitDefender 8 Standard
// Version: 8.0
//
// Erstelt am: 04/05/2005 15:16:49
//
//-----------------------------------------------------------------

Statistik

Pfad : C:\
F:\
Ordner : 3598
Dateien : 387521
Archive : 4190
Komprimierte Dateien : 23171
Erkannte Viren : 1
Infizierte Dateien : 2
Warnungen : 0
Verdächtige Dateien : 0
Desinfizierte Dateien : 0
Gelöschte Dateien : 2
Kopierte Dateien : 0
Verschobene Dateien : 0
Umbenannte Dateien : 0
I/O Fehler : 27
Prüfzeit : 00:48:28
Prüfgeschwindigkeit (Dateien/Sekunde) : 133

Virusdefinitionen : 149374
Scan Plug-Ins : 13
Archiv Plug-Ins : 39
Archiv Plug-Ins : 4
E-Mail Plug-Ins : 6
System Plug-Ins : 1

Scan Optionen

Erkennung
[X] Boot-Sektoren prüfen
[X] Archive prüfen
[X] Komprimierte Dateien prüfen
[X] E-Mails prüfen

Dateimaske
[ ] Programme
[X] Alle Dateien
[ ] Benutzerdefinierte Erweiterungen:
[ ] Ausgeschlossene Erweiterungen: ;

Aktion

Infizierte Objekte
[ ] Ignorieren
[ ] Desinfizieren
[ ] Löschen
[ ] In die Quarantäne kopieren
[ ] In die Quarantäne verschieben
[ ] Umbenennen
[X] Benutzer abfragen

Zweite Aktion
[X] Ignorieren
[ ] Löschen
[ ] In die Quarantäne kopieren
[ ] In die Quarantäne verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Scan Optionen
[X] Warnungen aktiviert
[X] Heuritik aktiviert
[X] Alle Dateien im Bericht anzeigen
[X] Berichtsdatei: vscan.log
[ ] Zum bestehenden Bericht hinzufügen

Zusammenfassung:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BendForTitleThat\fastdata.exe Infiziert mit: Trojan.Downloader.Swizzor.CP
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BendForTitleThat\fastdata.exe Gelöscht
C:\Dokumente und Einstellungen\Lars\Anwendungsdaten\Tool Bone Dash\dtfvftyd.exe Infiziert mit: Trojan.Downloader.Swizzor.CP
C:\Dokumente und Einstellungen\Lars\Anwendungsdaten\Tool Bone Dash\dtfvftyd.exe Gelöscht

außerdem hab ich noch den verdächtigen eintrag mit hijackthis löschen lassen, ich glaub das teil is weg, bis jetz is jedenfalls noch keine werbung da. ist es so wichtig unbedingt mit escan im abgesicherten modus zu scannen? was is da so toll dran? grade eben hat bitdefender gemeldet gemeldet, das iexplorer.exe versucht sich in registery einzutragen um automatisch bei systemstart gestartet zu werden, bin erst mal auf nein gegangen. astrein is mein pc warscheinlich noch nich. mal abwarten. kann ich die systemwiederherstellung wieder einschalten?

seltsam: nach einen neustart is die datei fastdata.exe wieder da (selbes verzeichnis) aber nicht die dtfvftyd.exe (noch irgendeine andere in dem verzeichnis). für was ist die datei fastdata.exe zuständig?, is sowas wie ne systemdatei?

@JackTheCDRipper

Zitat:

escan hab ich nicht ausgeführt

Dieser Ratschlag kommt nicht vom klaren Himmel oder nur deswegen, weil jemand (in dem Fall - ich) dich ver...schen möchte. Dein BD kann ab jetzt nicht als Virenscanner betrachtet verden, denn dein System steht unter Kompromittierungsverdacht. eScan sollte als Querchecker dienen.
Ich wünsche dir noch viel Spaß beim Bereingen deines PCs.

ok, dann mach ich noch mal mit escan im abgesicherten modus und wenn der nichts findet, kann ich dann die systemwiederherstellung wieder anmachen oder installiert sich der trojaner dann wieder? bis jetz is noch nichts auffälliges passiert außer vorhin mit der meldung von IE, aber das kann auch was andres gewesen sein.

danke für deine hilfe

@JackTheCDRipper

Zitat:

ok, dann mach ich noch mal mit escan im abgesicherten modus und wenn der nichts findet,

Der findet, darauf kannst du dich verlassen. Was SWH betrifft: es ist reine Benutzersache: man kann mit und ohne SWH virenfrei arbeiten.

mir is noch aufgefallen, dass es bei der meldung von BD genau dieser eintrag bei hijackthis hier war (alle andren offenen fenster sind Groß Geschrieben, den findet hijackthis jetz auch nich mehr):

Logfile of HijackThis v1.99.1
Scan saved at 07:12:31, on 04.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
f:\Programme\Ahead\InCD\InCDsrv.exe
f:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Cherry\CDI\CDI.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\DSentry.exe
F:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
F:\PROGRA~1\MTRAFFIC\MT.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Lars\Eigene Dateien\HijackThis.exe