Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Werbe Popus nerven...Hilfe!!! (https://www.trojaner-board.de/22262-werbe-popus-nerven-hilfe.html)

maureco 28.09.2005 09:39

Werbe Popus nerven...Hilfe!!!
 
Moin moin,

langsam geht es mir echt auf die Nerven. Ich habe seit einigen Tagen das problem, daß sich alle paar Minuten Werbefenster öffnen. Das sind kleinere popups, also nicht bildschirmfüllend und zeigen Werbung aus Amiland (für den iPod, Versicherungen und Geldanlagen).
Als Absender ist zu erkennen "http://ads1.revenue.net/j?site_id=1341...usw., wobei diese Adressen teilweise wechseln.
Habe mit allen gängigen Tools (Antivir, Adaware, Spybot) versucht, daß Teil zu killen, allerdings ohne Erfolg.

Mein problem: ich bin erstens ein PC Dummie und kann den PC auch nicht im abgesicherten Modus fahren, da ich ein Apple Cinema Display als Monitor betreibe. Im abgesicherten Modus bleibt der Flachbildschirm also schwarz.

Hat jemand eine Idee, was da meinen PC befallen hat und wie ich vorgehen könnte? Ach ja, ich nutze Windows XP.

Danke im voraus!

felix1 28.09.2005 09:54

Poste mal ein HJT-Logfile. Halte Dich genau an die Anweisungen:
http://www.trojaner-board.de/showthread.php?t=17493

maureco 28.09.2005 10:09

Hi felix,

ich hoffe, daß das so richtig ist mit dem Log?


Logfile of HijackThis v1.99.1
Scan saved at 11:05:49, on 28.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Microsoft SQL Server\MSSQL$EAZYSALES\Binn\sqlservr.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Marius Schweitz\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Services] lssrv.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.exe
O4 - HKLM\..\RunOnce: [ATIPRB] C:\WINDOWS\System32\rundll32.exe /g
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Registration-Studio 8 SE.lnk = C:\Programme\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O13 - WWW. Prefix: http://ehttp.cc/?
O15 - Trusted Zone: http://www.scottrader.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/2034d9b5daa1652f5505/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096548387569
O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/installers/pinstall/pinstall.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C14C9409-1E1B-4F00-94AD-70F055AA71B2} (TradeSignal express) - http://www.tradesignal.com/wpa/tsb/2.7.0.18/components/tsbt-2-7-0-18.cab
O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/_media/dalaillama/ampx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2FCD5468-9A5C-4E0A-AD2A-D85FCF11D5E3}: NameServer = 212.7.148.97 212.7.148.65
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.


LG Cidre
S-Mod TB

stupormundi 28.09.2005 10:17

Servus, maureco!

Zitat:

O4 - HKLM\..\Run: [Microsoft Services] lssrv.exe
...
O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.exe
ist der hier http://www.trendmicro.com/vinfo/viru...BOT.CW&VSect=T Ein Backdoor-Trojaner
Einzig sinnvoller Rat hier: Neu Aufsetzen nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=12154
Alles Gute, stupormundi

felix1 28.09.2005 10:20

Ich vermute mal, dass Du Dir das hier eingefangen hast:
http://www.sophos.de/virusinfo/analyses/w32rbotlt.html

Das sieht nicht gut aus. Grund dafür ist u.a ein veraltetes System.

Bevor ich jetzt sage, dass Du neu aufsetzen sollst, mache einen escan genau nach Anleitung und poste das mit der Find.bat erzeugte Log:
http://www.trojaner-board.de/showthread.php?t=17492

maureco 28.09.2005 10:29

Zitat:

Zitat von felix1
Ich vermute mal, dass Du Dir das hier eingefangen hast:
http://www.sophos.de/virusinfo/analyses/w32rbotlt.html

Das sieht nicht gut aus. Grund dafür ist u.a ein veraltetes System.

Bevor ich jetzt sage, dass Du neu aufsetzen sollst, mache einen escan genau nach Anleitung und poste das mit der Find.bat erzeugte Log:
http://www.trojaner-board.de/showthread.php?t=17492


Hi Felix,

mein Problem: ich nutze einen Apple Cinema Display Monitor und das blöde teil bleibt im abgesicherten Modus schwarz. Ich wäre also blind. Schätze ich muß einen Freund bitten, mit einem Monitor hier anzurücken, damit es weitergehen kann...? Oder haben wir andere Möglichkeiten?
Mit aufsetzen meinst Du, daß das system neu aufgesetzt werden muß?

stupormundi 28.09.2005 10:33

Servus, maureco!

Lass´mal die von mir zitierte Datei bei Jotti virusscan.jotti.org/de prüfen und poste das Ergebnis
stupormundi

felix1 28.09.2005 10:36

Zitat:

Zitat von maureco
Oder haben wir andere Möglichkeiten?
Mit aufsetzen meinst Du, daß das system neu aufgesetzt werden muß?

Ja das meine ich damit. Entweder wartest Du auf Deinen Freund oder versuchst es mit dem Rat von Stupermundi.

maureco 28.09.2005 10:40

Zitat:

Zitat von felix1
Ja das meine ich damit. Entweder wartest Du auf Deinen Freund oder versuchst es mit dem Rat von Stopermundi.


Ok, werde ich machen. Aber zunächst mal ein dickes Danke an Euch. ich finde es klasse, daß ihr mir so schnell geantwortet habt und versucht, mir zu helfen!

maureco 28.09.2005 10:45

Zitat:

Zitat von stupormundi
Servus, maureco!

Lass´mal die von mir zitierte Datei bei Jotti virusscan.jotti.org/de prüfen und poste das Ergebnis
stupormundi


Ich schrieb ja schon, daß ich ein PC Dummie bin...wo finde ich denn die Datei auf meinem PC, wenn ich bei Jotti auf "Durchsuchen" klicke?

stupormundi 28.09.2005 10:53

Wahrscheinlich im System oder system32 - Ordner auf Deiner Systempartition
Sorge zuvor dafür, dass im explorer auch versteckte Systemdateien angezeigt werden. Dort kannst Du auch zuvor schon die Suchfunktion nutzen, um die Datei zu finden!
Zitat:

Im Explorer auf Menüpunkt "Extras" --> Ordneroptionen --> Karteireiter "Ansicht" und folgende Einträge beachten: "Geschützte Systemdateien ausblenden (empfohlen)" Häkchen entfernen und "Inhalte von Systemordnern anzeigen" anhaken!
Alles Gute, stupormundi

riesurf 28.09.2005 10:55

Moin,
nur als Ergänzung sollte es der hier sein http://www.sophos.de/virusinfo/analyses/w32rbotlt.html ändere alle deine Passwörter.
Gruß
riesurf

maureco 28.09.2005 11:22

Zitat:

Zitat von riesurf
Moin,
nur als Ergänzung sollte es der hier sein http://www.sophos.de/virusinfo/analyses/w32rbotlt.html ändere alle deine Passwörter.
Gruß
riesurf


Jetzt bin ich etwas verwirrt. Keine der Dateien konnte ich finden, weder im System noch Sytem32, obwohl ich auch die versteckten Dateien laut deiner Anleitung anzeigen ließ. Komisch.
Ich habe zeitgleich noch einen Online-Scan mit Trend Micro gemacht und beide Laufwerke durchsuchen lassen und bekam die Meldung " Number of Infections: 0.

habe jetzt aber erst einmal alle Passwörter geändert und hoffe auf baldigen besuch eines Freundes, der als Systemadministrator arbeitet. Der wird mir hoffentlich weiterhelfen können.

Was ich nicht schnalle:Wenn die dateien im Log auftauchten, warum sind sie dann nicht zu finden? Wann wird es das perfekte Sy stem geben für Dummies wie mich?:koch:

stupormundi 28.09.2005 11:54

Servus nochmal, maureco!
Zitat:

Jetzt bin ich etwas verwirrt. Keine der Dateien konnte ich finden, weder im System noch Sytem32...
Hast Du vor dem Scan mit Jotti versucht, im Windows Explorer oder unter "START"-->"SUCHEN"-->"Dateien nd Ordner" -->"Suchen in:Lokale Festplatten" und hier weiter unten "weitere Optionen: Systemordner durchsuchen; versteckte Elemente durchsuchen; Unterordner durchsuchen" die Datei "lssrv.exe" auf allen Laufwerken gesucht?
bis dann, stupormundi

maureco 28.09.2005 12:17

Zitat:

Zitat von stupormundi
Servus nochmal, maureco!
Hast Du vor dem Scan mit Jotti versucht, im Windows Explorer oder unter "START"-->"SUCHEN"-->"Dateien nd Ordner" -->"Suchen in:Lokale Festplatten" und hier weiter unten "weitere Optionen: Systemordner durchsuchen; versteckte Elemente durchsuchen; Unterordner durchsuchen" die Datei "lssrv.exe" auf allen Laufwerken gesucht?
bis dann, stupormundi


Ja, habe ich eben erneut gemacht, mit allen Optionen, wie von Dir vorgegeben. Meldung nach der Suche:
Die Suche ist abgeschlossen. Es liegen keine Ergebnisse vor. :headbang:


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:59 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131