Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Ee-Popups in Firefox (https://www.trojaner-board.de/38191-ee-popups-firefox.html)

gruntig 21.04.2007 08:23
Ee-Popups in Firefox
 
Hallo!

Auch wenn einigen von euch der Threattitel wohl bekannt vorkommen könnte, mach ich ihn trotzdem nochmal auf. Mein Problem ist, dass sich, wenn ich Firefox starte nach nen paar Sekunden son Popups vom Internet Explorer öffnet. Das deutet ja schonmal auf Spyware auf meinem Pc hin. Ich hab mir schon diverse andere Threads mit dem gleiche Problem durchgelesen, aber die konnten mir auch nicht weiterhelfen.

Hier mein Hjt-Log:

Logfile of HijackThis v1.99.1
Scan saved at 09:21:14, on 21.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\AMD\AMD Power Monitor\AMD_PwrMon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WZShutdown\P_zero.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\{0877C800-07DA-1031-0822-051015200031}\Update.exe
D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
D:\Anti Spyware scheiße\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.00\WlanCU.exe
D:\Programme\Miranda IM\miranda32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\System32\svchost.exe
C:\WZShutdown\P_zero.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Anti Spyware scheiße\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: Shell=Explorer.exe,
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [AMD_Display] C:\Programme\AMD\AMD Power Monitor\AMD_PwrMon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WZShutdown] C:\WZShutdown\P_zero.exe -hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [{0877C800-07D9-1031-0822-051015200031}] "C:\Programme\Gemeinsame Dateien\{0877C800-07D9-1031-0822-051015200031}\Update.exe" mc-110-12-0000272
O4 - HKLM\..\Run: [{0877C800-07DA-1031-0822-051015200031}] "C:\Programme\Gemeinsame Dateien\{0877C800-07DA-1031-0822-051015200031}\Update.exe" mc-110-12-0000272
O4 - HKLM\..\Run: [{0877C800-07DB-1031-0822-051015200031}] "C:\Programme\Gemeinsame Dateien\{0877C800-07DB-1031-0822-051015200031}\Update.exe" mc-110-12-0000272
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [duqxc] C:\WINDOWS\system32\hgffaq.exe reg_run
O4 - HKCU\..\Run: [WC3RI] "D:\Spiele\Warcraft III\WC3RI\WC3RI.exe" 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Anti Spyware scheiße\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Miranda IM.lnk = D:\Programme\Miranda IM\miranda32.exe
O4 - Startup: Verknüpfung mit wzs123.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Wireless Configuration Utility HW.51.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.00\WlanCU.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://www.giga.de/giga-stream-test/Rawflow.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F575753A-B502-4A8D-8F50-8C7D60B83653}: NameServer = 192.168.1.2
O17 - HKLM\System\CS2\Services\Tcpip\..\{4A32240D-BE1D-4B86-A59F-4339C1B72198}: NameServer = 192.168.1.2
O20 - Winlogon Notify: SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Unknown owner - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)



Dieses File hab ich auch schon durch den Scanner auf hijackthis.de laufen lassen und alles "böse" gelöscht, bis auf die nicht bekannten Programme.

Ich würde mich freuen wenn jemand mal den log für mich auswerten könnte, bzw mir sagen könnte was ich noch alles machen kann, damit dieses nervigen Popups weg sind.


MfG

Ich!

gruntig 22.04.2007 15:07
wäre ganz nett wenn mal jemand antworten könnte :bussi:

liz 22.04.2007 15:25
kannst du die beiden hier mal bei virustotal überprüfen lassen?

Zitat:
C:\Programme\Gemeinsame Dateien\{0877C800-07DA-1031-0822-051015200031}\Update.exe

C:\WINDOWS\system32\hgffaq.exe

gruntig 22.04.2007 18:13
Zitat:
Zitat von liz (Beitrag 264267)
kannst du die beiden hier mal bei virustotal überprüfen lassen?
hab in der zwischenzeit mal nen scann mit bitdefender gemacht und da wurden diebeiden gefunden, hab sie gelöscht. Jetzt wird nix mehr gefunden bei nem scann aber die popups kommen immernoch. Falls es hilft, die Popups sind hauptsächlich von casale oder so und von flirtfever.

was kann ich noch machen, langsam geht mir das auf den sack, vorallem, da ich nicth mehr an mein online konto drankann, da es zu gefährlich ist :(


hier der neue hjt log:

Logfile of HijackThis v1.99.1
Scan saved at 19:15:07, on 22.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\AMD\AMD Power Monitor\AMD_PwrMon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WZShutdown\P_zero.exe
C:\Programme\QuickTime\qttask.exe
D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
D:\Anti Spyware scheiße\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.00\WlanCU.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\WZShutdown\P_zero.exe
D:\Programme\wtvClient0.95.00\wtvClient.exe
C:\Programme\JGsoft\EditPadLite\EditPadLite.exe
D:\Programme\VLC\vlc.exe
D:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Spiele\Warcraft III\GGclient\GGclient.exe
D:\Anti Spyware scheiße\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: Shell=Explorer.exe,
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [AMD_Display] C:\Programme\AMD\AMD Power Monitor\AMD_PwrMon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WZShutdown] C:\WZShutdown\P_zero.exe -hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKLM\..\Run: [{0877C800-07D9-1031-0822-051015200031}] "C:\Programme\Gemeinsame Dateien\{0877C800-07D9-1031-0822-051015200031}\Update.exe" mc-110-12-0000272
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [WC3RI] "D:\Spiele\Warcraft III\WC3RI\WC3RI.exe" 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Anti Spyware scheiße\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [duqxc] C:\WINDOWS\system32\hgffaq.exe reg_run
O4 - Startup: Miranda IM.lnk = D:\Programme\Miranda IM\miranda32.exe
O4 - Startup: Trend Micro Anti-Spyware.lnk = C:\Programme\Trend Micro\Tmasy\Tmasy.exe
O4 - Startup: Verknüpfung mit wzs123.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Wireless Configuration Utility HW.51.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.00\WlanCU.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - h**p://www.giga.de/giga-stream-test/Rawflow.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F575753A-B502-4A8D-8F50-8C7D60B83653}: NameServer = 192.168.1.2
O17 - HKLM\System\CS2\Services\Tcpip\..\{4A32240D-BE1D-4B86-A59F-4339C1B72198}: NameServer = 192.168.1.2
O20 - Winlogon Notify: SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Unknown owner - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)



bitte helft mir^^

nochdigger 22.04.2007 19:05
Hallo

Zitat:
hab in der zwischenzeit mal nen scann mit bitdefender gemacht und da wurden diebeiden gefunden, hab sie gelöscht.
irgendwie scheint Bitdefender nicht sehr erfolgreich gewesen zu sein
Zitat:
aber die popups kommen immernoch.
die beiden Dateien erscheinen auch immer noch im HJT log, liz hat dir schon den Hinweis gegeben die Dateien auswerten zu lassen wäre schön wenn du dem nachkommen könntest.
Poste das gesamte Ergebnis der hoch geladenen Dateien mit MD5 und SHA1 Angaben.

MFG

gruntig 22.04.2007 19:16
würde ich ja machen, aber die dateien sind nicht mehr da wo sie sein sollten. Der Registry nach zu urteilen sind die DAteien noch an Ort und Stelle. Soll ich die Einträge löschen oder wie soll ich weiter vorgehen??

edit: Also nochmal zu den Popups, das eine (casale) kommt immer, wenn ich irgendwo was "suche" also bei google z.B., das andere (flirt-fever) kommt immer zufällig glaub ich, aber auch nur wenn ich firefox offen habe.

liz 22.04.2007 19:48
hi,

hast du alle Dateien sichtbar gemacht?

Kannst auch mal ausprobieren, einfach nur den Datei-Pfad bei virustotal einzugeben...funktionierts dann?

lg

gruntig 22.04.2007 19:54
^_^ ja ich hab alle dateien sichtbar gemacht, wenn ich den Pfad eingebe dann lädt er ne 0 kb große Datei hoch, also nix, also liegt die Datei nicht an diesem Platz. Wie gesagt, nachdem ich den BitdefenderScan gemacht hab, hab ich die beiden Dateien manuell gelöscht. Vllt ist die Registry einfach nicht aktuell.
Auch wenn ich nach den DAteien Suche, sowohl manuell als auch mit der Windowssuche werden die nicht gefunden :(

Eins von dem beiden Popups verweist immer auf diese Seite hier:
h**p://www.flirt-fever.de/ol.php5?sid=180766533&pid=2


so hier nochmal der aktuellste log:

Logfile of HijackThis v1.99.1
Scan saved at 21:20:59, on 22.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\AMD\AMD Power Monitor\AMD_PwrMon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WZShutdown\P_zero.exe
C:\Programme\QuickTime\qttask.exe
D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.00\WlanCU.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\WZShutdown\P_zero.exe
C:\Programme\JGsoft\EditPadLite\EditPadLite.exe
D:\Spiele\Warcraft III\GGclient\GGclient.exe
D:\Programme\VLC\vlc.exe
D:\Programme\wtvClient0.95.00\wtvClient.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Anti Spyware scheiße\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: Shell=Explorer.exe,
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\ANTISP~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [AMD_Display] C:\Programme\AMD\AMD Power Monitor\AMD_PwrMon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WZShutdown] C:\WZShutdown\P_zero.exe -hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [WC3RI] "D:\Spiele\Warcraft III\WC3RI\WC3RI.exe" 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Anti Spyware scheiße\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Miranda IM.lnk = D:\Programme\Miranda IM\miranda32.exe
O4 - Startup: Trend Micro Anti-Spyware.lnk = C:\Programme\Trend Micro\Tmasy\Tmasy.exe
O4 - Startup: Verknüpfung mit wzs123.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Wireless Configuration Utility HW.51.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.00\WlanCU.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://www.giga.de/giga-stream-test/Rawflow.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F575753A-B502-4A8D-8F50-8C7D60B83653}: NameServer = 192.168.1.2
O17 - HKLM\System\CS2\Services\Tcpip\..\{4A32240D-BE1D-4B86-A59F-4339C1B72198}: NameServer = 192.168.1.2
O20 - Winlogon Notify: SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Unknown owner - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


auf hijackthis wird nix böses mehr angezeig,t auch nichts unbekanntes mehr.
die beiden dateien sind nciht mehr drin, ich hab die Einträge gefixt. Die Popups kommen immernoch :confused:

MightyMarc 22.04.2007 20:22
Zitat:
Zitat von gruntig (Beitrag 264332)
^_^ ja ich hab alle dateien sichtbar gemacht, wenn ich den Pfad eingebe dann lädt er ne 0 kb große Datei hoch, also nix, also liegt die Datei nicht an diesem Platz.
Doch, die Datei liegt da. Kopiere beide Dateien in ein Verzeichnis und benenne sie in furunkel1.dat und furunkel2.dat um. Lade sie (die Umbenannten) dann nochmal bei virustotal.com hoch.

Gruß

Marc

gruntig 22.04.2007 20:33
hast du alles gelesen mightymarc, ich hab noch was dazueditiert. Wenn ich den Pfad zu einer der beiden DAteien rauskopiere und im Windowsexplorer einfüge, also zb C:\Programme\Gemeinsame Dateien\{0877C800-07D9-1031-0822-051015200031}\

kommt nur ne Fehlermeldung, dass der Pfad nicth gefunden wurde.

Das gleiche hier:C:\WINDOWS\system32\ und dann nach hgffaq suchen und nix wird gefunden, also ich weiß ja nicht woher ich die DAteien herkopieren soll und sie dann umbenennen soll, wenn ich sie nicht finde :confused:


wenn ich in der registry nach dem -->0877C800-07D9-1031-0822-051015200031<-- Schlüssel suche findet er drei Einträge, die jeweils auf ein update.exe verweisen das hier C:\Programme\Gemeinsame Dateien\{0877C800-07D9-1031-0822-051015200031}\ liegen soll, der Pfad ist aber nicht da -.-
(die reg-schlüssel sind jeweils etwas anders und demach ändert sich auch der Ordnername geringfügig)

Sollte ich die drei Einträge einfach löschen?? An den Stellen, wo die drauf verweisen liegen ja keine Dateien bzw. Ordner mehr.

MightyMarc 22.04.2007 20:52
Blacklight runterladen, laufen lassen und das Log posten.

gruntig 22.04.2007 21:03
hab kein log, da nix gefunden wurde :headbang: !

Wie gesagt, ich hab die Dateien manuell gelöscht und wenn Hijackthis in der Registry nach irgendwas sucht, dann ist es ja klar, dass das noch gefunden wird, anders kann ich mir das nicht erklären, aber ich denke mal ihr seid ja erfahrener als ich :lach:

Also weiterhin die Frage: was kann ich noch tun...

gruntig 23.04.2007 06:48
hab die logdatei doch gefunden, lag auf dem desktop^^:

04/22/07 21:53:33 [Info]: BlackLight Engine 1.0.61 initialized
04/22/07 21:53:33 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/22/07 21:53:33 [Note]: 7019 4
04/22/07 21:53:33 [Note]: 7005 0
04/22/07 21:53:36 [Note]: 7006 0
04/22/07 21:53:36 [Note]: 7011 1324
04/22/07 21:53:36 [Note]: 7026 0
04/22/07 21:53:36 [Note]: 7026 0
04/22/07 21:53:38 [Note]: FSRAW library version 1.7.1021
04/22/07 22:01:37 [Note]: 2000 1012
04/22/07 22:01:37 [Note]: 2000 1012
04/22/07 22:01:37 [Note]: 2000 1012
04/22/07 22:01:37 [Note]: 2000 1012
04/22/07 22:01:37 [Note]: 2000 1012
04/22/07 22:01:37 [Note]: 2000 1012
04/22/07 22:01:37 [Note]: 2000 1012
04/22/07 22:01:37 [Note]: 2000 1012
04/22/07 22:01:37 [Note]: 2000 1012
04/22/07 22:01:37 [Note]: 2000 1012
04/22/07 22:01:37 [Note]: 2000 1012
04/22/07 22:01:37 [Note]: 2000 1012
04/22/07 22:01:37 [Note]: 2000 1012
04/22/07 22:01:37 [Note]: 2000 1012
04/22/07 22:01:37 [Note]: 2000 1012
04/22/07 22:01:37 [Note]: 2000 1012
04/22/07 22:01:37 [Note]: 2000 1012
04/22/07 22:01:37 [Note]: 2000 1012
04/22/07 22:01:37 [Note]: 2000 1012
04/22/07 22:01:37 [Note]: 2000 1012
04/22/07 22:01:37 [Note]: 2000 1012
04/22/07 22:01:37 [Note]: 2000 1012
04/22/07 22:01:57 [Note]: 7007 0




ach ja, ich hätte meinen anderen Post auch editiert, aber irgendwie war die Schaltfläche dazu nicht da.

gruntig 24.04.2007 14:00
kleiner Push :aplaus:

MightyMarc 24.04.2007 14:38
Entferne mal sämtliche Einträge zu den beiden Dateien (s.o.) aus der Registry bzw fixe sie mit HJT.
Besteht das Problem mit den Pop-Ups noch weiterhin?
Was wird da eigentlich für eine merkwürdige Datei aus Deinem WCIII-Ordner gestartet?


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:46 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131