|
Bitte um Auswertung / ad.firstsolution Popups.. Hi, Seitdem ich das Plugin Netpumper installiert habe, bekomm ich andauernd Pupups ( ad.firstsolution ) ... Adaware + komplettern scan mit AntiVir hat nix gebracht :( Wär jemand so nett und könnte meine hijack log auswerten?! mfg Benny Logfile of HijackThis v1.99.1 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/showpost.php?p=171957&postcount=1 danke GUA [/edit] ================================================================================== Hab auch mal dieses Tool durchlaufen lassen: SmitFraudFix v2.76 Scan done at 7:49:46,95, 29.07.2006 Run from C:\Dokumente und Einstellungen\gizZlefizZle\Desktop\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End |
C:\Programme\NN-Script\mirc.exe Tut mir leid dir mitteilen zu müssen, dass du hier einen Sobet-B / Backdoor drauf hast. Setze das System besser neu auf. EDIT: C:\Programme\GetRight\getright.exe das könnte ein Wurm sein. Du hast da noch mehr drauf. Scheinst ja schon ein paar Tage das Ding drauf zu haben wat? :P |
Wie kommst du auf Sobet-B / Backdoor ? C:\Programme\NN-Script\mirc.exe Das Programm habe ich installiert und benutze es auch! War auch beim scan offen.. Zitat:
Die Popups hab ich allerdings schon ein paar Tage ^^ |
Ich komme auf Sobet-B, weil verschiedene Vireninfoseiten das sagen. (Sophos z.B.) und bei mirc.exe war ich mir nicht sicher. Es heißt, dass das ein Malewar Prozess ist. Wenn er es nicht ist, dann ist doch gut. |
http://www.mirc.com/ http://de.wikipedia.org/wiki/Mirc Das ist ein ganz normaler irc client, hat nix mir Trojaner oder Viren zu tun. Durch welche Datei oder Eintrag kommen deine Seiten darauf, das ich ein Trojaner hab? |
Aso das meinste.. weil ich die Sobet-B Datei gefunden habe.. habs nur vergessen zu posten sorry. |
mOIn auch, um sicher zu gehen lasse die Datei doch hier http://virusscan.jotti.org/de/ oder hier http://www.virustotal.com/en/indexf.html auswerten (kann in beiden Fällen etwas dauern) poste die Ergebnisse. Das kommt mir komisch vor O4 - HKCU\..\RunOnce: [remititit25949] C:\WINDOWS\system32\command.com /c del C:\DOKUME~1\GIZZLE~1\ANWEND~1\MFCDUP~1\12847.del O4 - HKCU\..\RunOnce: [remititit19618] C:\WINDOWS\system32\command.com /c del C:\DOKUME~1\GIZZLE~1\ANWEND~1\MFCDUP~1\12847.del lasse die command.com mal mit auswerten. MFG |
O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file) Das auch. P.S. Ich find die Datei jetz net mehr sorry. |
================================ Datei: command.com Auslastung: 0% 100% Status: OK Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden ================================ Datei: mirc.exe Auslastung: 0% 100% Status: INFIZIERT/MALWARE Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Program.mIRC.612 gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus not-a-virus:Client-IRC.Win32.mIRC.612 gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden ================================ Also Clean? oder? IRC wurde halt gefunden... aber is ja auch von mir gewollt installiert ^^ Welche Datei beinhaltet Sobet-B ? (Darthshoot) |
Logfile of HijackThis v1.99.1 Scan saved at 07:38:46, on 29.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\DAEMON Tools\daemon.exe C:\programme\powerstrip\pstrip.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe D:\games\Steam\steam.exe C:\Programme\ICQ\Icq.exe C:\WINDOWS\system32\drwtsn32.exe C:\WINDOWS\system32\drwtsn32.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\NN-Script\mirc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\***\Desktop\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.cstrike.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 125.244.111.194:8080 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll (file missing) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing) O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [VaCtrl] C:\Programme\VoiceAge\Common\VaCtrl.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime Alternative\qttask.exe" -atboottime O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [RK Launcher] - O4 - HKCU\..\RunOnce: [remititit25949] C:\WINDOWS\system32\command.com /c del C:\DOKUME~1\GIZZLE~1\ANWEND~1\MFCDUP~1\12847.del O4 - HKCU\..\RunOnce: [remititit19618] C:\WINDOWS\system32\command.com /c del C:\DOKUME~1\GIZZLE~1\ANWEND~1\MFCDUP~1\12847.del O4 - Startup: desktop(2).ini O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: desktop(2).ini O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe ============================================================= @gua , wär sehr Hilfreich nicht einfach meine gesammte log zu Löschen, nen Hinweis hätte auch gereicht :confused: |
Ne sorry war mein Fehler. Öfters ist mirc.exe ein schädlicher Prozess. Warte da sind einige Prozesse, die mir komisch vorkommen. Scanne mal deinen PC mit nem Inet Scanner und poste das Log hier bitte. Zum Beispiel bei Virustotal. |
Mit dem Scanner auf deiner Seite kann ich nur einzelne Dateien scannen. Das würde ja Wochen dauern :D |
Ok dann scanne / fixe mal diese Dateien: O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file) KA hierzu: O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O4 - HKCU\..\RunOnce: [remititit25949] C:\WINDOWS\system32\command.com /c del C:\DOKUME~1\GIZZLE~1\ANWEND~1\MFCDUP~1\12847.del O4 - HKCU\..\RunOnce: [remititit19618] C:\WINDOWS\system32\command.com /c del C:\DOKUME~1\GIZZLE~1\ANWEND~1\MFCDUP~1\12847.del Und was mir auch komisch vorkommt, ist das hier: O4 - Startup: desktop(2).ini |
OT: Zitat:
Zitat:
Zitat:
Als ich hier im Board angefangen habe, wurde ich sehr schnell auf gravierende Fehler hingewiesen, ermahnt, aufmerksam gemacht!!! Weiso passiert das bei dir nicht? :confused: Frage an die Moderatoren/Admins? SCNR! @gizzle Gehe dem Rat von "nochdigger" nach und lass die Datei: "C:\WINDOWS\system32\command.com" bei Virustotal auswerten und poste anschliessend das Ergebnis. Gruß Daniel |
command.com ============================================= Antivirus Version Update Result AntiVir 6.35.1.0 07.29.2006 no virus found Authentium 4.93.8 07.29.2006 no virus found Avast 4.7.844.0 07.28.2006 no virus found AVG 386 07.28.2006 no virus found BitDefender 7.2 07.29.2006 no virus found CAT-QuickHeal 8.00 07.29.2006 no virus found ClamAV devel-20060426 07.27.2006 no virus found DrWeb 4.33 07.28.2006 no virus found eTrust-InoculateIT 23.72.81 07.29.2006 no virus found eTrust-Vet 12.6.2314 07.28.2006 no virus found Ewido 4.0 07.28.2006 no virus found Fortinet 2.77.0.0 07.29.2006 no virus found F-Prot 3.16f 07.28.2006 no virus found F-Prot4 4.2.1.29 07.28.2006 no virus found Ikarus 0.2.65.0 07.28.2006 no virus found Kaspersky 4.0.2.24 07.29.2006 no virus found McAfee 4817 07.28.2006 no virus found Microsoft 1.1508 07.27.2006 no virus found NOD32v2 1.1683 07.28.2006 no virus found Norman 5.90.23 07.28.2006 no virus found Panda 9.0.0.4 07.28.2006 no virus found Sophos 4.08.0 07.29.2006 no virus found Symantec 8.0 07.29.2006 no virus found TheHacker 5.9.8.182 07.27.2006 no virus found UNA 1.83 07.28.2006 no virus found VBA32 3.11.0 07.28.2006 no virus found VirusBuster 4.3.7:9 07.28.2006 no virus found Aditional Information File size: 52777 bytes MD5: 51bc6d5244eb71fc3e698929601e222d SHA1: 8f60cdbf50c718fc7a2374c39f45e51f034d7c7d // hab mal bisschen gegooglet: http://de.wikipedia.org/wiki/Command.com http://www.computerhope.com/commandh.htm |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:39 Uhr. |
Copyright ©2000-2025, Trojaner-Board