Trojaner-Board - ständige Popups, Anti-Spyware zwecklos

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - ständige Popups, Anti-Spyware zwecklos (https://www.trojaner-board.de/28224-staendige-popups-anti-spyware-zwecklos.html)

ständige Popups, Anti-Spyware zwecklos

Hallo, ich hoffe ihr könnt mir helfen.
Hab bis jetzt alles probiert

counterspy
adaware
spybot search and destroy
antivir

doch nix bringt was, selbst die windows firewall nicht
hab auch alle windows updates eingespielt

folgendes: dauernd geht mein standardbrowser (opera) auf mit irgendwelchen seiten, viele davon gehen erst gar nicht.
manchmal auch neuere popups ohne das ein browser gestartet wird.
Ich bekomms einfach nicht weg

nix hilft, ich hoffe ihr koennt mir helfen, ich poste mal meine hijack this logfile. ihr seid meine letzte hoffnung

danke schonmal, gruß Daniel

Logfile

Logfile of HijackThis v1.99.1
Scan saved at 18:54:15, on 09.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunThreatEngine.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Opera8\Opera.exe
C:\Programme\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O17 - HKLM\System\CCS\Services\Tcpip\..\{50A4AFEE-2D0B-48CB-9083-EBE865162A35}: NameServer = 192.168.30.62
O17 - HKLM\System\CS1\Services\Tcpip\..\{50A4AFEE-2D0B-48CB-9083-EBE865162A35}: NameServer = 192.168.30.62
O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\n02ulaf91d2.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Startuplist

StartupList report, 09.04.2006, 18:55:17
StartupList version: 1.52.2
Started from : C:\Programme\hijackthis\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunThreatEngine.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Opera8\Opera.exe
C:\Programme\hijackthis\HijackThis.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
SunServer = C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
avgnt = "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Enumerating Download Program Files:

[{33564D57-0000-0010-8000-00AA00389B71}]
CODEBASE = h**p://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 3.409 bytes
Report generated in 0,015 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

dises Packet Capture Programm ist in Ordnung,
ist ein Tool für Warcraft 3

Wäre echt super wenn ihr mir helfen könntet.
Ich verzweifle langsam, zig Tools installiert, nix funzt.
Und die ständigen Popups hindern mich an allem.

Danke schonmal.
Gruß Daniel

Lade Dir eScan:
download

Lese die Anleitung
http://www.trojaner-board.de/showthread.php?t=17492 Anleitung

Poste danach das Ergebniss:

und zwar lade die find.bat herunter.

danach führe folgendes aus:
C:\Find.bat die Find.bat doppelklicken und den Scan abwarten danach die erstellte eScan_neu.txt' posten.

Bei Schwierigkeiten diesen Link befolgen.

Hallo,

lade Dir zuerst http://www.simplytech.it/L2MRemover/index_de.htm.
Poste dannach ein neues LogFile und beriichte.

Gruß

Schrulli

Hallo The Saint,

Dein Link zur Escan-Anleitung bezieht sich auf Versionen bis 7.x, mittlerweile wird die Version 8.x bereitgestellt und dazu passt folgende Anleitung:
http://www.trojaner-board.de/showthread.php?t=24192

dartus

Zitat:

hallo dartus!

"Danke" für die Info war ja schon länger nicht mehr hier.

wow, hey leute echt super von euch dass ihr mir so schnell hilfe anbietet!

in einem anderen anti trojaner board bekam ich nur bloede sprüche und tipps wie, formatier doch einfach.

Ich werde eure ratschläge gleich wenn ich von der arbeit komm beherzigen.
wist ihr zufaellig welche infos in der hosts drinstehen duerfen?

in meiner stehen unzaehlige sehr verdächtige hosts, die ich aber nicht entfernen kann. da sie sich anscheinend alle 5 sekunden neu reinschreiben. gibts dagegen auch was? schreibschutz war zwecklos. selbst hijack this konnte nichts ausrichten.

Ok, hab die Anweisungen befolgt. Hier das Ergebnis der eScan_neu.txt:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 10 17:09:47 2006 => System found infected with flashget Unclassified ({a5366673-e8ca-11d3-9cd9-0090271d075b})! Action taken: Keine Aktion vorgenommen.
Mon Apr 10 17:09:50 2006 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
Mon Apr 10 17:09:50 2006 => System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: Keine Aktion vorgenommen.
Mon Apr 10 17:09:56 2006 => System found infected with cydoor.topicks.a Spyware/Adware (logo.swf)! Action taken: Keine Aktion vorgenommen.
Mon Apr 10 17:09:59 2006 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
Mon Apr 10 17:09:59 2006 => System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Mon Apr 10 17:09:50 2006 => Offending file found: C:\DOKUME~1\*****\LOKALE~1\Temp\cmdlineext02.dll
Mon Apr 10 17:09:50 2006 => Offending file found: C:\DOKUME~1\*****\LOKALE~1\Temp\war3_install.exe
Mon Apr 10 17:09:56 2006 => Offending file found: C:\Dokumente und Einstellungen\*****\Desktop\stuff\forum\fuerforum\bbtech\images\logo.swf
Mon Apr 10 17:09:59 2006 => Offending file found: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\temp\cmdlineext02.dll
Mon Apr 10 17:09:59 2006 => Offending file found: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\temp\war3_install.exe
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Mon Apr 10 17:24:47 2006 => Scanne Datei C:\Programme\Adobe\InDesign CS\Plug-Ins\Filters\Tagged Text Attributes.apln
Mon Apr 10 17:24:47 2006 => Scanne Datei C:\Programme\Adobe\InDesign CS\Plug-Ins\Filters\Tagged Text Export Filter.apln
Mon Apr 10 17:24:47 2006 => Scanne Datei C:\Programme\Adobe\InDesign CS\Plug-Ins\Filters\Tagged Text Import Filter.apln
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

ich push das mal, damit ich dran erinner.

kann mir nu einer helfen dabei? wäre nett

Servus fleder!

Hast Du wie schrulli vorgeschlagen hat, den look2me remover laufen lassen?

Sonst hol Dir mal clearprog 1.4.1 final und lösche mit der Option 'clear all/alles löschen' mal den Ballast, dann poste die vier Logs der datfind.bat (die Dateien der letzten 2-3 Monate genügen)

stupormundi

Hi, danke für deine Antwort.

Habe den Look2Me Remover mal durhclaufen lassen, auch dein Clearprog.
bis jetzt kam kein neues Popup. Aber das ist sporadisch, ich warte jetz ma ab ob noch was kommt.

Die 4 Logs der Datfind hab ich mal hochgeladen, da das hier zu lang wäre.
h**p://sp4wn.funpic.de/logs/

dank dir nochmal!

Hallo Fleder,

lösche mittels der Killbox folgende Dateien im "C:\WINDOWS\system32" [Option "delete on reboot" Häkchen setzen, auf das weisse Kreuz mit rotem Hintergrund anklicken und erst nach der letzten Datei die Frage nach einem Neustart bejahen):

nvapps.xml
wjvadvd.dll
n46qlej51ho.dll
gp04l3dq1.dll
JQS1500.DLL
d3d9caps.dat
d3d8caps.dat
mdsystem.dll
i0nmla511d.dll
GNFSPidGen.dll
wnscpcc.ex

Desweiteren scanne folgende Datei:
C:\WINDOWS\system32\rar.exe

hier jeweils online
http://www.virustotal.com/xhtml/index_en.html
http://virusscan.jotti.org/de
Teile die Ergebnisse mit.

dartus

Hi, ich werde die Dateien nach der Arbeit löschen lassen und dann hier alles posten.

Aber zuerst möchte ich mich bei euch allen bedanken! Wirklich klasse was ihr hier macht. Meine Popups sind jetzt verschwunden. Wenn ich euch irgendwie helfen kann, sagts einfach. Vielen Dank für eure Hilfe!