Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Werbefenster werden geöffnet (https://www.trojaner-board.de/50402-werbefenster-geoeffnet.html)

happy2k 11.03.2008 18:10
Werbefenster werden geöffnet
 
Hallo,

folgendes Problem:
Ich hab vor kurzem meine Vorinstallierte McAffee Sicherheitssoftware deinstalliert und statt dessen was kostenloses drauf gemacht weil das Abo abgelaufen war. Nun scheint es so, dass die Software irgendwie nen Popup blocker hatte, oder aber ich den Virus neu eingefangen habe. Jedenfalls öffnet sich jetzt immer wenn ich ne Seite öffne eine werbeseite, sowohöl beim IE als auch bei Mozilla. Wenn ich zB auf ps.de gehe öffnet sich ne pokerseite, manchmal handyscout oder antivirensoftware.

Ich habe bereits Kaspersky online scanner durchlaufen lassen, SuperAntispyware und Hijackthis. Hijackthislog hefte ich mal dran.

Bitte um Hilfe. Danke im Vorraus.

Logfile of HijackThis v1.99.1
Scan saved at 5:37:56 PM, on 3/11/2008
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Samsung\Samsung Recovery Solution II\WCScheduler.exe
C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Intel\Intel Media Share Software\Viivmonitor.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Grisoft\AVG7\avgcc.exe
C:\Windows\ehome\ehtray.exe
C:\Users\Admin\AppData\Local\ntcsy.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9d.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\Admin\Desktop\Programme\HijackThis.exe
C:\Windows\system32\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IaNvSrv] C:\Program Files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe
O4 - HKLM\..\Run: [Play AVStation TV Scheduler] C:\Program Files\Samsung\Play AVStation\TvScheduler.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ViivMonitor] C:\Program Files\Intel\Intel Media Share Software\ViivMonitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [ntcsy] c:\users\admin\appdata\local\ntcsy.exe ntcsy
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\Party Gaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\Party Gaming\PartyPoker\RunApp.exe
O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/part...can_unicode.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: avgwlntf - C:\Windows\SYSTEM32\avgwlntf.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\VPN Client\cvpnd.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel® Media Share Synch Service (IMSSync) - Intel® Corporation - C:\Program Files\Intel\Intel Media Share Software\IMSSync.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

LILGRUPF 11.03.2008 18:44
ich bin zwar kein experte aba ich hatte mal ein ähnliches problem
versuch doch mal spyware doctor einen scan zu machen das is eigentlich ein gutes programm

happy2k 11.03.2008 19:38
Spywaredoctor hat was gefunden, insagesammt 31 Sachen oder so, aber will die nicht entfernen ohne das ich das Programm kaufe.

Teufel100 12.03.2008 08:44
Hi,

erst mal zu deinen Problem mit dem Programm. Wenn du dir das im GooglePack holst, entfernt er dir auch die gefundenen Sachen ohne das du es kaufen musst. Und zu deinem Problem, vielleicht hilft dir ja dieses Thema weiter:

http://www.trojaner-board.de/34856-werbefenster-oeffnen-sich.html

Viele grüße

sven

happy2k 12.03.2008 10:15
Habe das aus dem anderen theat schon versucht bevor ich gepostet habe, hat nur leider nix gebracht. Ad-aware findet immer so 14 Sachen, die lass ih removen, scanne nochmal sind sie wieder da. Könnte es das sein?

happy2k 14.03.2008 12:03
Ich habe jetzt mal im Abgesicherten Modus Ad-aware und Spybot S&D durchlufen lassen. Spybot findet gar nix und Ad-aware findet irgendwelche Cookies, und sagt, es könne sie nachm neustart entfernen, aber wenn ichs dann nochmal durchlafen lasse sind sie wieder da. Diverse Virenscanner finden auch nix un jetzt weiß ich nicht mehr weiter. Habe auch mal ne einfache Sytemwiederherstellung gemacht, bei der nur die Windowsdateien wiederhergestellt werden (mit Samsung Recovery Solution) aber auh das bringt nix.

Hilfe?

nochdigger 14.03.2008 12:33
Hallo

kannst du alle versteckten Dateien und Ordner sehen?
Lass bitte diese Datei
Zitat:
c:\users\admin\appdata\local\ntcsy.exe
hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(080218)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

Zitat:
Spywaredoctor hat was gefunden, insagesammt 31 Sachen oder so, aber will die nicht entfernen ohne das ich das Programm kaufe.
Was wurde wo gefunden?

Erstelle bitte auch ein neues Hijackthis Log mit der aktuellen Version
TrendSecure | TrendMicro™ HijackThis™ Overview

MFG

happy2k 14.03.2008 17:48
Habe bei Sypwaredoctor die Googleversion installiert und die Sachen gelöscht, weß nicht mehr was es war, hat aber nix gebracht.

Habe die Datei c:\users\admin\appdata\local\ntcsy.exe gescanntund folgendes Log erhalten:


Antivirus Version Last Update Result
AhnLab-V3 2008.3.15.0 2008.03.14 -
AntiVir 7.6.0.73 2008.03.14 -
Authentium 4.93.8 2008.03.13 -
Avast 4.7.1098.0 2008.03.13 -
AVG 7.5.0.516 2008.03.14 -
BitDefender 7.2 2008.03.14 -
CAT-QuickHeal 9.50 2008.03.14 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.03.14 -
DrWeb 4.44.0.09170 2008.03.14 -
eSafe 7.0.15.0 2008.03.09 -
eTrust-Vet 31.3.5614 2008.03.14 -
Ewido 4.0 2008.03.14 -
F-Prot 4.4.2.54 2008.03.13 W32/Dialer.B.gen!Eldorado
F-Secure 6.70.13260.0 2008.03.14 Suspicious:W32/Malware!Gemini
FileAdvisor 1 2008.03.14 -
Fortinet 3.14.0.0 2008.03.14 -
Ikarus T3.1.1.20 2008.03.14 -
Kaspersky 7.0.0.125 2008.03.14 -
McAfee 5251 2008.03.13 -
Microsoft 1.3301 2008.03.13 -
NOD32v2 2948 2008.03.14 -
Norman 5.80.02 2008.03.14 -
Panda 9.0.0.4 2008.03.13 -
Prevx1 V2 2008.03.14 Heuristic: Suspicious Self Modifying EXE
Rising 20.35.42.00 2008.03.14 -
Sophos 4.27.0 2008.03.14 -
Sunbelt 3.0.963.0 2008.03.14 -
Symantec 10 2008.03.14 -
TheHacker 6.2.92.245 2008.03.14 -
VBA32 3.12.6.2 2008.03.13 -
VirusBuster 4.3.26:9 2008.03.14 -
Webwasher-Gateway 6.6.2 2008.03.14 Virus.Win32.FileInfector.gen (suspicious)

Additional information
File size: 391168 bytes
MD5: 3bb90c57c05fe08a0c9d9559c151ab28
SHA1: f187d9e5ba041fe70a370c7349a145d1b22bac29
PEiD: -
packers: UPX
packers: PE_Patch
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=B114506800AAAF9CF8120585A45B50007FD38C71

nochdigger 14.03.2008 23:07
Hallo

Zitat:
Habe bei Sypwaredoctor die Googleversion installiert und die Sachen gelöscht, weß nicht mehr was es war, hat aber nix gebracht.
hm?
Schick die Datei bitte mal an Bitdefender und Kaspersky
die E-Mail Adressen findest du hier
http://www.trojaner-board.de/19273-v...einsenden.html
und auch wie dies gemacht werden sollte.

Außerdem lade die Datei mal hier hoch
Submit your sample
du bekommst nach zwei bis drei Tagen das Ergebnis, das du hier posten kannst.

Wenn die Datei versand worden ist starte HijackThis --> wähle "Open the Misc Tools section" --> "Misc Tools" anwählen --> Delete a file on reboot --> wähle die zu löschende Datei -->
die Frage zum Neustart mit "Nein" beantworten --> die Frage des Neustarts erst mit "Ja" beantworten wenn alle Dateien ausgewählt wurden.
Wähle folgende Datei(en) :
Zitat:
c:\users\admin\appdata\local\ntcsy.exe
beende Hijackthis und starte den Rechner neu.
Kontrolliere bitte nach dem Neustart ob die Datei gelöscht wurde.

MFG

happy2k 18.03.2008 01:12
Kannst du btte nochmal den Link zum sehen von versteckten Dateien und Ordnern überprüfen? Bei mir geht der nicht und ich finde die Datei nicht.

nochdigger 18.03.2008 05:55
Moin

Zitat:
Kannst du btte nochmal den Link zum sehen von versteckten Dateien und Ordnern überprüfen?
entweder dieser
http://www.trojaner-board.de/59624-a...-sichtbar.html
oder hier
http://sicher-ins-netz.info/images/o...pt-ansicht.png
sollte das auch nicht fruchten kopiere (mit der Maus makieren und STRG-C) diesen Pfad ab
Code:
c:\users\admin\appdata\local\ntcsy.exe
und füge ihn bei z.B. Virustotal im Feld "Durchsuchen" ein (STRG-V), klick dann "Senden der Datei".

MFG

Sabina 18.03.2008 11:07
Hallo,

wahrscheinlich kann man die Datei im Combofix sichtbar machen :) - oder gleich auslöschen.
combofix

anwenden + das Log hier posten

---

eine andere Möglichkeit wäre, mit F-Secure zu scanne, der erkennt/löscht den Virus/Dialer
Online Virenscanner


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:36 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19