Trojaner-Board - Pop Ups & Backtera Virus

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Pop Ups & Backtera Virus (https://www.trojaner-board.de/29607-pop-ups-backtera-virus.html)

Pop Ups & Backtera Virus

Hallo ich bekomme auch ständig die Backtera Virus Meldung, und Pop Ups gehen auf. Vielleicht könnte ja mal jemand danach schauen.
Im vorraus schonmal vielen Dank.

Logfile of HijackThis v1.99.0
Scan saved at 17:54:15, on 31.05.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Prg&Tools\NeuInstall\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {CF5A5A75-F0D6-D309-DF70-1BDCA94634EC} - C:\DOKUME~1\DANIEL~1\ANWEND~1\SECOND~1\STUPID IDLE.exe (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\TA 33 USB\routcnf.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [Beep 64 Third Aim] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Gridarmybeep64\CreativeClose.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.ex" -silent
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
O4 - HKCU\..\Run: [Store Dale] C:\DOKUME~1\DANIEL~1\ANWEND~1\GRIMSU~1\Enc One.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AntiVir Scheduler - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

cu daniel

Dass Du Probleme hast, wundert mich nicht:

Logfile of HijackThis v1.99.0
Scan saved at 17:54:15, on 31.05.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Wir sind bei WinXP SP2.
Lade und update Ad-aware sowie Spybot S&D und lasse die Programme laufen.
Mit Spybot immunisieren
http://www.comsafe.de/download.html

http://www.ewido.net/de/download/
Lasse Ewido das System scannen und bereinigen.
Poste das Ergebnis des Scans mit ewido.

Lade Dir die neuste Version von HJT.

Poste ein neues Log von HJT.
Wenn es i.O. ist, installiere SP2 sowie alle verfügbare Updates.

Zitat:

O4 - HKLM\..\Run: [Beep 64 Third Aim] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Gridarmybeep64\CreativeClose .exe

Dieser Eintrag kommt mit spanisch vor, lass die Datei CreativeClose.exe mal bei Jotti oder Virustotal auswerten. Ergebnisse posten.

Hallo der Scan von Jotti

Jottis Malwarescan 2.99-TRANSITION_TO_3.00-R1

Datei, die hochgeladen und gescannt werden soll:
Dienst
Datei: CreativeClose.exe
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -

AntiVir Adware-Spyware/Lop.ad.24 adware gefunden
ArcaVir Keine Viren gefunden
Avast Win32:Swizzor-gen gefunden
AVG Antivirus Lop.B gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.Swizzor gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus not-a-virus:AdWare.Win32.Lop.bb gefunden
NOD32 a variant of Win32/TrojanDownloader.Swizzor gefunden
Norman Virus Control Swizzor.gen gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Trojan.Swizzor gefunden

Sieht wohl net so gut aus, oder?

Den Swizzor kannst Du mit Hilfe dieser Anleitung entfernen.
Angesichts des Patchzustandes Deiner Kiste würde hier aber ein Neuaufsetzen auch schon Sinn machen.

ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 20:14:42, 31.05.2006
+ Report-Checksumme: CC376790

+ Scanergebnis:

C:\Dokumente und Einstellungen\Daniel&Verena\Cookies\daniel&verena@ad.adition[2].txt -> TrackingCookie.Adition : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Daniel&Verena\Cookies\daniel&verena@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Daniel&Verena\Cookies\daniel&verena@adopt.euroclick[1].txt -> TrackingCookie.Euroclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Daniel&Verena\Cookies\daniel&verena@as1.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Daniel&Verena\Cookies\daniel&verena@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Daniel&Verena\Cookies\daniel&verena@lop[1].txt -> TrackingCookie.Lop : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Daniel&Verena\Cookies\daniel&verena@max.i12[2].txt -> TrackingCookie.I12 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Daniel&Verena\Cookies\daniel&verena@partygaming.122.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Daniel&Verena\Cookies\daniel&verena@php.sales.tfag[2].txt -> TrackingCookie.Tfag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Daniel&Verena\Cookies\daniel&verena@stats1.reliablestats[2].txt -> TrackingCookie.Reliablestats : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Daniel&Verena\Cookies\daniel&verena@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Gesäubert mit Backup

::Report Ende

Ich Kann leider nicht auf die Seite von virus-protect zugreiffen, um mir den cleanup runterzuladen.
Der IE kackt ab, wenn ich auf diese Seite zugreifen will.

cu daniel

Vielen Dank , für eure Hilfe, bin leider jetzt erst wieder dazugekommen,
was am PC zu machen

MfG Daniel