Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte um Auswertung / ad.firstsolution Popups.. (https://www.trojaner-board.de/30970-bitte-um-auswertung-ad-firstsolution-popups.html)

gizzle 29.07.2006 06:36

Bitte um Auswertung / ad.firstsolution Popups..
 
Hi,
Seitdem ich das Plugin Netpumper installiert habe, bekomm ich andauernd Pupups ( ad.firstsolution ) ... Adaware + komplettern scan mit AntiVir hat nix gebracht :( Wär jemand so nett und könnte meine hijack log auswerten?!

mfg Benny

Logfile of HijackThis v1.99.1
[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:

http://www.trojaner-board.de/showpost.php?p=171957&postcount=1

danke
GUA
[/edit]

==================================================================================
Hab auch mal dieses Tool durchlaufen lassen:

SmitFraudFix v2.76

Scan done at 7:49:46,95, 29.07.2006
Run from C:\Dokumente und Einstellungen\gizZlefizZle\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Darthshoot 29.07.2006 06:58

C:\Programme\NN-Script\mirc.exe

Tut mir leid dir mitteilen zu müssen, dass du hier einen Sobet-B / Backdoor drauf hast.
Setze das System besser neu auf.

EDIT: C:\Programme\GetRight\getright.exe das könnte ein Wurm sein. Du hast da noch mehr drauf. Scheinst ja schon ein paar Tage das Ding drauf zu haben wat? :P

gizzle 29.07.2006 06:59

Wie kommst du auf Sobet-B / Backdoor ?

C:\Programme\NN-Script\mirc.exe

Das Programm habe ich installiert und benutze es auch! War auch beim scan offen..

Zitat:

Zitat von Darthshoot
EDIT: C:\Programme\GetRight\getright.exe das könnte ein Wurm sein. Du hast da noch mehr drauf. Scheinst ja schon ein paar Tage das Ding drauf zu haben wat? :P

Das is mein Downloadmanager... ganz normales Programm. http://www.getright.com/

Die Popups hab ich allerdings schon ein paar Tage ^^

Darthshoot 29.07.2006 07:08

Ich komme auf Sobet-B, weil verschiedene Vireninfoseiten das sagen.
(Sophos z.B.) und bei mirc.exe war ich mir nicht sicher. Es heißt, dass das ein Malewar Prozess ist. Wenn er es nicht ist, dann ist doch gut.

gizzle 29.07.2006 07:09

http://www.mirc.com/
http://de.wikipedia.org/wiki/Mirc

Das ist ein ganz normaler irc client, hat nix mir Trojaner oder Viren zu tun.

Durch welche Datei oder Eintrag kommen deine Seiten darauf, das ich ein Trojaner hab?

Darthshoot 29.07.2006 07:13

Aso das meinste.. weil ich die Sobet-B Datei gefunden habe.. habs nur vergessen zu posten sorry.

nochdigger 29.07.2006 07:14

mOIn auch,
um sicher zu gehen lasse die Datei doch hier
http://virusscan.jotti.org/de/
oder hier
http://www.virustotal.com/en/indexf.html
auswerten (kann in beiden Fällen etwas dauern) poste die Ergebnisse.
Das kommt mir komisch vor
O4 - HKCU\..\RunOnce: [remititit25949] C:\WINDOWS\system32\command.com /c del C:\DOKUME~1\GIZZLE~1\ANWEND~1\MFCDUP~1\12847.del
O4 - HKCU\..\RunOnce: [remititit19618] C:\WINDOWS\system32\command.com /c del C:\DOKUME~1\GIZZLE~1\ANWEND~1\MFCDUP~1\12847.del
lasse die command.com mal mit auswerten.
MFG

Darthshoot 29.07.2006 07:18

O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)

Das auch. P.S. Ich find die Datei jetz net mehr sorry.

gizzle 29.07.2006 07:22

================================

Datei: command.com
Auslastung:
0% 100%
Status:
OK
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

================================

Datei: mirc.exe
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Program.mIRC.612 gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
not-a-virus:Client-IRC.Win32.mIRC.612 gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

================================

Also Clean? oder? IRC wurde halt gefunden... aber is ja auch von mir gewollt installiert ^^

Welche Datei beinhaltet Sobet-B ? (Darthshoot)

gizzle 29.07.2006 09:43

Logfile of HijackThis v1.99.1
Scan saved at 07:38:46, on 29.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\programme\powerstrip\pstrip.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
D:\games\Steam\steam.exe
C:\Programme\ICQ\Icq.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\NN-Script\mirc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.cstrike.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 125.244.111.194:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [VaCtrl] C:\Programme\VoiceAge\Common\VaCtrl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [RK Launcher] -
O4 - HKCU\..\RunOnce: [remititit25949] C:\WINDOWS\system32\command.com /c del C:\DOKUME~1\GIZZLE~1\ANWEND~1\MFCDUP~1\12847.del
O4 - HKCU\..\RunOnce: [remititit19618] C:\WINDOWS\system32\command.com /c del C:\DOKUME~1\GIZZLE~1\ANWEND~1\MFCDUP~1\12847.del
O4 - Startup: desktop(2).ini
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: desktop(2).ini
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

=============================================================

@gua , wär sehr Hilfreich nicht einfach meine gesammte log zu Löschen, nen Hinweis hätte auch gereicht :confused:

Darthshoot 29.07.2006 10:04

Ne sorry war mein Fehler. Öfters ist mirc.exe ein schädlicher Prozess.
Warte da sind einige Prozesse, die mir komisch vorkommen. Scanne mal deinen PC mit nem Inet Scanner und poste das Log hier bitte. Zum Beispiel bei Virustotal.

gizzle 29.07.2006 10:09

Mit dem Scanner auf deiner Seite kann ich nur einzelne Dateien scannen. Das würde ja Wochen dauern :D

Darthshoot 29.07.2006 10:15

Ok dann scanne / fixe mal diese Dateien:

O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)

KA hierzu:
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O4 - HKCU\..\RunOnce: [remititit25949] C:\WINDOWS\system32\command.com /c del C:\DOKUME~1\GIZZLE~1\ANWEND~1\MFCDUP~1\12847.del
O4 - HKCU\..\RunOnce: [remititit19618] C:\WINDOWS\system32\command.com /c del C:\DOKUME~1\GIZZLE~1\ANWEND~1\MFCDUP~1\12847.del

Und was mir auch komisch vorkommt, ist das hier:

O4 - Startup: desktop(2).ini

Sunny 29.07.2006 10:22

OT:

Zitat:

Zitat von Darthshoot
Ne sorry war mein Fehler. Öfters ist mirc.exe ein schädlicher Prozess.

Zitat:

O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
Das auch. P.S. Ich find die Datei jetz net mehr sorry.
Zitat:

C:\Programme\NN-Script\mirc.exe

Tut mir leid dir mitteilen zu müssen, dass du hier einen Sobet-B / Backdoor drauf hast.
Setze das System besser neu auf.

EDIT: C:\Programme\GetRight\getright.exe das könnte ein Wurm sein. Du hast da noch mehr drauf. Scheinst ja schon ein paar Tage das Ding drauf zu haben wat? :P
Du kannst mehr als froh sein, das der TO sich halbwegs mit seinem System auskennt, aber was wäre passiert wenn er wirklich deinem Rat gefolgt wäre: "Setze das System besser neu auf."

Als ich hier im Board angefangen habe, wurde ich sehr schnell auf gravierende Fehler hingewiesen, ermahnt, aufmerksam gemacht!!!
Weiso passiert das bei dir nicht? :confused:
Frage an die Moderatoren/Admins?

SCNR!



@gizzle

Gehe dem Rat von "nochdigger" nach und lass die Datei:
"C:\WINDOWS\system32\command.com"
bei Virustotal auswerten und poste anschliessend das Ergebnis.

Gruß
Daniel

gizzle 29.07.2006 10:34

command.com
=============================================
Antivirus Version Update Result
AntiVir 6.35.1.0 07.29.2006 no virus found
Authentium 4.93.8 07.29.2006 no virus found
Avast 4.7.844.0 07.28.2006 no virus found
AVG 386 07.28.2006 no virus found
BitDefender 7.2 07.29.2006 no virus found
CAT-QuickHeal 8.00 07.29.2006 no virus found
ClamAV devel-20060426 07.27.2006 no virus found
DrWeb 4.33 07.28.2006 no virus found
eTrust-InoculateIT 23.72.81 07.29.2006 no virus found
eTrust-Vet 12.6.2314 07.28.2006 no virus found
Ewido 4.0 07.28.2006 no virus found
Fortinet 2.77.0.0 07.29.2006 no virus found
F-Prot 3.16f 07.28.2006 no virus found
F-Prot4 4.2.1.29 07.28.2006 no virus found
Ikarus 0.2.65.0 07.28.2006 no virus found
Kaspersky 4.0.2.24 07.29.2006 no virus found
McAfee 4817 07.28.2006 no virus found
Microsoft 1.1508 07.27.2006 no virus found
NOD32v2 1.1683 07.28.2006 no virus found
Norman 5.90.23 07.28.2006 no virus found
Panda 9.0.0.4 07.28.2006 no virus found
Sophos 4.08.0 07.29.2006 no virus found
Symantec 8.0 07.29.2006 no virus found
TheHacker 5.9.8.182 07.27.2006 no virus found
UNA 1.83 07.28.2006 no virus found
VBA32 3.11.0 07.28.2006 no virus found
VirusBuster 4.3.7:9 07.28.2006 no virus found

Aditional Information
File size: 52777 bytes
MD5: 51bc6d5244eb71fc3e698929601e222d
SHA1: 8f60cdbf50c718fc7a2374c39f45e51f034d7c7d


// hab mal bisschen gegooglet:

http://de.wikipedia.org/wiki/Command.com
http://www.computerhope.com/commandh.htm


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:50 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19