Trojaner-Board - Pop Ups

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Pop Ups - users32.exe (https://www.trojaner-board.de/29783-pop-ups-users32-exe.html)

Pop Ups - users32.exe

Seit neuestem hab ich da eun problem mit meinem explorer, es kommen jedesmal rechts unten im windows popups ( manchmal auch mitten drin), die doch ernsthaft behaupten ich hätte spyware etc. jedenfalls is das nicht das einzigste problem, ich kann auch unter meinem windows task manager nichts mehr anklicken, sprich ich kann keine prozesstrukturen beenden etc, das hat sich alles in grau gefärbt. Was seltsam ist, wenn ich mein pc komplett neu starte kann ich im windows task manager noch prozesstrukturen beenden. Sobald ich aber den arbeitsplatz aufrufe, startet sich ne users32.exe und ich kann nichts mehr anklicken im windows task manager und die pop ups erscheinen. ich hab auch mal unter google unter users32.exe gesucht und was tolles gefunden, hab des ausprobiert(2 mal), hat aber nicht funktionert h**p://forums.thetechguys.com/archive/index.php/t-5728.html . und im forum hab ic hbis jetzt dazu noch nichts gefunden.

ich hoffe hier kann mir geholfen werden, ansonsten muss ich wohl oder übel formatieren.

der hijack log ist:
Logfile of HijackThis v1.99.1
Scan saved at 21:29:20, on 06.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\VVSN\VVSN.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_06\bin\jucheck.exe
C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\D-Tools\daemon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\MSOffice\Office\OSA.EXE
C:\WINDOWS\system32\users32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Strahlem@nn.Pu\Desktop\HijackThis.exe

O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - (no file)
O2 - BHO: (no name) - {00000000-C1EC-0345-6EC2-4D0300000000} - (no file)
O2 - BHO: (no name) - {00000000-F09C-02B4-6EC2-AD0300000000} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file)
O2 - BHO: adobepnl.ADOBE_PANEL - {5E8FA924-DEF0-4E71-8A82-A11CA0C1413B} - C:\WINDOWS\system32\adobepnl.dll
O2 - BHO: (no name) - {7b55bb05-0b4d-44fd-81a6-b136188f5deb} - (no file)
O2 - BHO: (no name) - {8333c319-0669-4893-a418-f56d9249fca6} - (no file)
O2 - BHO: (no name) - {9c691a33-7dda-4c2f-be4c-c176083f35cf} - (no file)
O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)
O2 - BHO: (no name) - {ffd2825e-0785-40c5-9a41-518f53a8261f} - (no file)
O4 - HKLM\..\Run: [x0r] C:\WINDOWS\System32\x0r\svnhost.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [WhenUSearchWHSE] "C:\Programme\WhenUSearch\whse.exe"
O4 - HKLM\..\Run: [WhenUSearch] "C:\Programme\WhenUSearch\Search.exe"
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\system32\susp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [SMqbk1GI] C:\WINDOWS\vsryjb.exe
O4 - HKLM\..\Run: [sdkly.exe] C:\WINDOWS\sdkly.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [piukvg] C:\WINDOWS\System32\uvmzxil.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAVNet] "C:\DOKUME~1\STRAHL~1.PU\LOKALE~1\Temp\A6.tmp" /m
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [Imonitor] "C:\Programme\McAfee\QuickClean\PlgUni.exe" /START
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [HP SchedIndexer] C:\Programme\Hewlett-Packard\LaserJet 33xx\hppschedindexer.exe
O4 - HKLM\..\Run: [HP AutoIndexer] C:\Programme\Hewlett-Packard\LaserJet 33xx\hppautoindexer.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\system32\runsrv32.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [addhr.exe] C:\WINDOWS\addhr.exe
O4 - HKLM\..\Run: [-
] C:\WINDOWS\vsryjb.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\system32\hookdump.exe
O4 - HKCU\..\Run: [IDMan] C:\Programme\Internet Download Manager\IDMan.exe /onboot
O4 - Startup: titanshield.lnk = C:\Programme\TitanShield Antispyware\titanshield.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP LaserJet Director.lnk = C:\Programme\Hewlett-Packard\LaserJet 33xx\hppdirector.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Office Startup.lnk = C:\MSOffice\Office\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\Programme\AVWin\AVGUARD.EXE (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Norton Unerase Protection (NProtectService) - Unknown owner - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE (file missing)
O23 - Service: WinFast(R) Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ReplService - Unknown owner - C:\Trilogy\ReplService\repl.exe (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

Ich befürchte da sind einige üble Dinger bei:

Zitat:

C:\Programme\VVSN\VVSN.exe
C:\WINDOWS\system32\users32.exe
C:\WINDOWS\system32\adobepnl.dll
C:\WINDOWS\System32\x0r\svnhost.exe
C:\WINDOWS\vsryjb.exe
C:\WINDOWS\sdkly.exe
C:\WINDOWS\System32\uvmzxil.exe
C:\Programme\ISTsvc\istsvc.exe
C:\WINDOWS\system32\runsrv32.exe
C:\WINDOWS\addhr.exe
C:\Trilogy\ReplService\repl.exe

Und das sind nicht alle, denn einige harmlosere Dateien habe ich nicht aufgelistet. Da sind wohl einige Netzwerkwürmer dabei, die svnhost.exe wird wohl z.B. so einer sein.
Das beste ist, Du machst das System flach und setzt es neu auf.

nagut, dann werde ich das mal tun, trotzdem danke. ^^

Lösung zu: Pop Ups - users32.exe

Hallo Dodo

Falls es sich um eine Art hartnäckiges Werbungsprogramm für die Antispyware "Titanshield" ist kann ich dir weiterhelfen,
denn diesen "Trojaner":snyper: habe ich erfolgreich vom PC meiner Familie entfernt. Handelt es sich darum?

mfg Serge

Hallo,

@serge-b: Lese diesen Thread, die Links und Du wirst sehen , dass es sich nicht um hartnäckiges Werbungsprogramm handelt. :confused:

Gruß

Schrulli

Hallo @Schrulli

Soweit bin ich bereits gewesen, aber ich weiss immer noch nicht ob es sich um ein Werbungsprogramm für "TITANSHIELD" mit Microsoft Security Center-Fälschung handelt.

Falls es sich darum handelt habe ich bereits im Forumbeitrag ""users32" hartnäckig" die sehr sehr sehr lange Lösung geschrieben.

mfg Serge

Hallo,

Zitat:

Zitat von serge-b

Hallo @Schrulli
Soweit bin ich bereits gewesen, aber ich weiss immer noch nicht ob es sich um ein Werbungsprogramm für "TITANSHIELD" mit Microsoft Security Center-Fälschung handelt.

ich weiß grad gar nicht was Du willst? :confused:
Deinen anderen Beitrag hab ich grad gelesen. Halte auch diesen Beitrag für "schwierig". Du solltest lernen multiple Infektionen immer im Zusammenhang zu sehen. Was bringt es mir, einen Schädling zu löschen und zwei andere laden ihn direkt wieder nach?

Gruß

Schrulli

Hallo

> Deinen anderen Beitrag hab ich grad gelesen. Halte auch diesen Beitrag für "schwierig".

Es tut mir Leid, doch das, was ich machen musste kann ich nicht einfacher beschreiben. Denn für eine Automation über ein selbst prorammiertes Programm fehlen mir noch Datei-Verwaltungs und Registry-Bearbeitungskenntnisse.

>Du solltest lernen multiple Infektionen immer im Zusammenhang zu sehen. >Was bringt es mir, einen Schädling zu löschen und zwei andere laden ihn direkt wieder nach?

In Schritt 1 habe ich beschrieben, dass die Trojaner-Datei "users32.exe" beendet wird, ohne ihr die Möglichkeit der Speicherung zu geben. Der Explorer wird auch beendet, da er mit gewissen Ereignissen(z. B. öffnen des Arbeitsplatzes) den Trojaner wieder starten kann. Ansonsten startet er sich nach meinem Vorgehen nicht mehr.

>Auch dass Du einfach mal das komplette Temp Verzeichnis via .bat Datei löschen willst, find ich hart.

Ich weiss, dass es hart scheinen mag, doch unter Temp finden sich wie der Name sagt temporäre Dateien. Diese braucht man lediglich, um z.B. bei einer Installation die Dateien zu entpacken und Sie dann ins Programmverzeichnis zu kopieren. Danach werden sie nicht mehr gebraucht. Der Trojaner macht in diese in Temp und/oder Temporary Internet Files Sicherheitskopien, damit er sich ggf. wiederherstellen kann.

Gruss Serge

hatte den titanshield.

habs aber anders gelöst und windows neu draufgesetzt, vielen dank um eure bemühngen.

Hallo zusammen, Vieleicht kann ich weiterhelfen. Mein Sohn hat Heute das gleiche Problem wie eben geschildert. Ich habe mir die sache angeschaut. Die verursacher sind offensichtlich 2 Dateien, "users32.exe" und "qjrkvy.exe". Ebenso fiel mir auf das die MS-DOS Eingabeaufforderung aufpopte nach dem Win-Login. Dabei war in der Fensterleiste zu lesen (wenn ich mich richtig errinere "runsrv32.exe". Danach lies ich den "Filemonitor" von "sysinternals.com" laufen um einen hinweis über das Startverhalten der 2 Hauptdateien zu erfahren. (bei sysinternals bekommt man ebenso kostenlos den Task-Manager-Ersatz "Prozessexplorer" in der Version10.x Dieser ist xx mal besser als der vorhandene MS-Task-Manager). Danach habe ich den Rechner im abgesicherten-Modus ohne Netzwek, neu gestartet (F8 beim Booten mehrmals drücken) und mit dem "Administrator" User angemeldet. Die besagten 3 .exe Dateien im system32 Ordner gelöscht (Beim löschen die Shift-taste drücken, Papierkorb wird umgangen) ebenso die Users32.dll. :rolleyes:Bei diesen drei Dateien kann erkannt werden das es sich um keine MS-Windows Systemdateien handelt, wenn ihr kurz mit dem Mauszeiger über die jeweiligen Dateien hoovern. Hier erscheint nur der Dateiname und Datum im gegensatz bei MS-Dateien erscheint hier einmal die genaue Beschreibung und unter Firma eben Microsoft Corporation. Danach bin ich zum Ordner WINDOWS\Prefetch und habe hier alle *.pf Dateien gelöscht. :teufel3:*** Nächster schritt war die "regedit" zu Starten. *** Hier habe ich erst den Namen "users32" (ohne Gänsefüschen) unter (Strg+F) Suchen eingetippt und alles gelöscht was mit Users32.exe aufgefunden wurde. :teufel2:ACHTUNG in der Registry sollte nur derjenige was tun der sicher ist was er tut. Ich übernehme keine Haftung wenn ihr versehentlich eine Schlüßel löscht!:snyper:
Bitte das gleiche mit "qjrkv" machen. Danach die suchwörter "runsrv" suchen lassen und alles was mit "runsrv32.exe" angeboten wird, Löschen. ebenso mit dem Suchwort "adware". In diesem zusammenhang erscheint recht wahrscheinlich im Folgenden KEY:HKEY Local Machine> Software> Microsoft> Windows> Run Once einen Eintrag der entfernt werden sollte. Ebenso hat der ORDNER "RESPONDMITER" einen eintrag der Löschbar ist. Hier habe ICH den Gesamten Ordner gelöscht. :)Als ich fertig war >> Regedit schließen & Rechner Neustart! Nach dem Windows Login Konnte ich feststelle das das Problem gelöst war. Keine POP-UPS mehr und die 2 EXE Dateien im System32-Ordner tauchte ebensowenig auf. :daumenhoc Das was ich gerade beschrieben habe ist was ich tat. Bitte sehe es als einen Leitfaden an. Im Übrigen ein Aktuelle Virensoftware und SW- Firewall hat noch keinen PC geschadet. Meine Empfehlung ist Symantec.de, free-av.de, f-secure.de und nod32.de . Im übrigen waren noch 18 Viren und Trojaner auf dem Notebook die durch die SW von free-av.de entfernt wurde. Ich hoffe das ich jemanden helfen konnte.
Gruß Killrooy

Hallo,

@Killrooy & @serge-b (noch mal :) ): Für einen derartigen Befall verwendet bitte Smitfraudfix und verwendet es, wie unter Reinigung beschrieben. Es entfernt alle in diesem Zusammenhang auftauchenden Dateien.

Gruß

Schrulli