Trojaner-Board - Komisches Klicken, Werbefenster, laute Schlachtenmusik

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Komisches Klicken, Werbefenster, laute Schlachtenmusik (https://www.trojaner-board.de/88703-komisches-klicken-werbefenster-laute-schlachtenmusik.html)

Komisches Klicken, Werbefenster, laute Schlachtenmusik

Hallo,

ich habe ein hier bekanntes Problem und da ein User es hier bereits treffend formuliert hat, Quote ich ihn einfach mal:

Zitat:

Seit heute höre ich im Hintergrund immer ein klicken wie als ob jemand in einem unsichtbaren Browser Links anklicken würde. Dazu öffnen sich ab und zu Fenster vom Internet Explorer mit Werbung. Vor ein paar Stunden ist noch hin und wieder laute Schlachtenmusik aufgetaucht.

Ich habe gesehen dass das Problem hier anscheinend schon mehrfach behandelt wird, aber ich hatte Hemmungen einfach einer Anleitung hier zu folgen weil ja vllt. der Weg um das Teil los zu werden von Pc zu Pc unterschiedlich ist.

hier mein Hijackthis-Log:

Quelle: http://www.trojaner-board.de/88591-k...plore-exe.html

Code:

Scan saved at 16:52:07, on 26.07.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Programme\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Messenger\msmsgs.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Norton AntiVirus\Engine\16.8.0.41\ccSvcHst.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Programme\Norton AntiVirus\Engine\16.8.0.41\ccSvcHst.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Mozilla Firefox\plugin-container.exe

C:\Programme\Outlook Express\msimn.exe

C:\Dokumente und Einstellungen\User\Eigene Dateien\Downloads\HiJackThis204.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton AntiVirus\Engine\16.8.0.41\IPSBHO.DLL

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Lexmark 1200 Series] "C:\Programme\Lexmark 1200 Series\lxczbmgr.exe"

O4 - HKLM\..\RunOnce: [Uninstall Adobe Download Manager] "C:\WINDOWS\system32\rundll32.exe" "C:\Programme\NOS\bin\getPlus_Helper.dll",Uninstall /IE2883E8F-472F-4fb0-9522-AC9BF37916A7 /Get1noarp

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe

O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\User\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe

O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1269203237906

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1269203229593

O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - hxxp://tonline.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)

O23 - Service: Hotspot Manager (HotSpotFSvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (file missing)

O23 - Service: Norton AntiVirus - Symantec Corporation - C:\Programme\Norton AntiVirus\Engine\16.8.0.41\ccSvcHst.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\DSL-Manager\DslMgrSvc.exe
 

--

End of file - 8376 bytes

Bin mir natürlich nicht sicher ob ich die Schritte, wie es im Thema der Quelle beschrieben wurde, nachmachen soll.

Grüßchen

Nur diesen Schritt hab ich bisher ausgeführt ^^

Zitat:

Bitte den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Ergebnis

Code:

Bootkit Remover

(c) 2009 eSage Lab

www.esagelab.com
 

Program version: 1.1.0.0

OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
 

System volume is \\.\C:

\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00

SPTI_Read(): DeviceIoControl() ERROR 1

ERROR: SPTI_Read() fails for \\.\PhysicalDrive0

Boot sector MD5 is: 365def7dc6876e18e8cbb20c0cfdbadf
 

     Size  Device Name          MBR Status

 --------------------------------------------

   186 GB  \\.\PhysicalDrive0   Unknown boot code
 

Unknown boot code has been found on some of your physical disks.

To inspect the boot code manually, dump the master boot sector:

remover.exe dump <device_name> [output_file]

To disinfect the master boot sector, use the following command:

remover.exe fix <device_name>
 
 

Done;

Press any key to quit...

ok, hallo :-)
start ausführen, cmd.exe
enter
tippe:
remover.exe dump \\.\PhysicalDrive0 c:\mbr.mbr
wenn es ne fehlermeldung gibt, dann musst du remover.exe vom bootkitremover nach c:\windows\system32
verschieben.
dann noch mal
remover.exe dump \\.\PhysicalDrive0 c:\mbr.mbr
enter
dann
START remover.exe fix \\.\PhysicalDrive0
enter
dein mbr sollte bereinigt werden, starte den pc neu. führe remover.exe durch doppelklick erneut aus, poste das ergebniss.
auf c: ist ne datei mbr.mbr
die an uns hochladen:
http://www.trojaner-board.de/54791-a...ner-board.html
wie unter punkt2 beschrieben, gib bescheid, wenn das erledigt ist

Hab die Schritte mal durchgenommen und es ist immer noch wie vorher.

Code:

Bootkit Remover

(c) 2009 eSage Lab

www.esagelab.com
 

Program version: 1.1.0.0

OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
 

System volume is \\.\C:

\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00

SPTI_Read(): DeviceIoControl() ERROR 1

ERROR: SPTI_Read() fails for \\.\PhysicalDrive0

Boot sector MD5 is: 365def7dc6876e18e8cbb20c0cfdbadf
 

     Size  Device Name          MBR Status

 --------------------------------------------

   186 GB  \\.\PhysicalDrive0   Unknown boot code
 

Unknown boot code has been found on some of your physical disks.

To inspect the boot code manually, dump the master boot sector:

remover.exe dump <device_name> [output_file]

To disinfect the master boot sector, use the following command:

remover.exe fix <device_name>
 
 

Done;

Press any key to quit...

Das stand bei remover.exe dump \\.\PhysicalDrive0 c:\mbr.mbr

Code:

Microsoft Windows XP [Version 5.1.2600]

(C) Copyright 1985-2001 Microsoft Corp.
 

C:\Dokumente und Einstellungen\User>remover.exe dump \\.\PhysicalDrive0 c:\mbr.m

br

Bootkit Remover

(c) 2009 eSage Lab

www.esagelab.com
 

Program version: 1.1.0.0

OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
 

Dumping master boot sector of \\.\PhysicalDrive0...

SPTI_Read(): DeviceIoControl() ERROR 1

ERROR: Can't read first sector of disk by SPTI.
 

Done;

Press any key to quit...

Und das bei remover.exe fix \\.\PhysicalDrive0

Code:

Microsoft Windows XP [Version 5.1.2600]

(C) Copyright 1985-2001 Microsoft Corp.
 

C:\Dokumente und Einstellungen\User>remover.exe fix \\.\PhysicalDrive0

Bootkit Remover

(c) 2009 eSage Lab

www.esagelab.com
 

Program version: 1.1.0.0

OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
 

Restoring boot code at \\.\PhysicalDrive0...

SPTI_Read(): DeviceIoControl() ERROR 1

ERROR: Can't read first sector of disk by SPTI.
 

Done;

Press any key to quit...

Edith: Ach und ne Datei mbr.mbr hab ich nicht gefunden.

ok dann versuchen wir n anderes tool
erstelle nen neuen ordner, mbr.
download dort hinein
http://ad13.geekstogo.com/MBRCheck.exe
doppelklicke mbrcheck.exe
das programm startet, auf dem desktop gibts dann ne mbrcheck(datum).txt
deren inhalt posten

Tadaa.

Code:

MBRCheck, version 1.1.1
 

(c) 2010, AD
 
 
 

\\.\C: --> \\.\PhysicalDrive0
 
 
 

      Size  Device Name          MBR Status
 

  --------------------------------------------
 

    186 GB  \\.\PhysicalDrive0   Error reading raw MBR!
 
 
 
 
 

Done!  Press ENTER to exit...

hmm
hast du ne windows cd zur hand?
wenn ja, einlegen, pc neu starten. dann sollte der pc von cd starten, wähle dann r für recovery console
dort eingeben
fixmbr

enter
evtl. nachfrage mit y bestätigen, enter
exit
enter
cd raus, pc startet neu. damit sollte die musik und explorer sache geschichte sein

Hab irgendwie nicht hinbekommen :schmoll:

Wenn der von der CD das Setup lädt, dann kommt irgendwann die Meldung das die Datei dac960nt.sys beschädgit ist. Beliebige Taste drücken zum Neustarten ^^

hast du evtl. noch ne zweite pc oder n kumpel der dir eine borgen kann, cd auch sauber, also staub technisch :-)

Nach mehrmaligem Versuchen hats nun mit der CD geklappt.

Nun sieht das ganze so aus:

Zitat:

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.1.0.0
OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
SPTI_Read(): DeviceIoControl() ERROR 1
ERROR: SPTI_Read() fails for \\.\PhysicalDrive0
Boot sector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd

Size Device Name MBR Status
--------------------------------------------
186 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)

Done;
Press any key to quit...

ist das problem noch aufgetreten?

Kein geklicke mehr zu hören, bisher keine Pop ups und auch keine Musik. :party:

ok
fum software aktuell zu halten, instaliere secunia
http://www.trojaner-board.de/83959-s...ector-psi.html
rechtsklick arbeitsplatz, eigenschaften, systemwiederherstellung, auf allen laufwerken deaktivieren, übernehmen, ok
5 min warten, wieder einschalten
nutze den ccleaner:
http://www.trojaner-board.de/51464-a...-ccleaner.html

um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
http://www.trojaner-board.de/71542-a...sandboxie.html
es ist weiterhin zu empfehlen, sich, wenn du mit dem programm auskommst, ne lizenz zu besorgen, die kostet 25 € und ist dein ganzes leben lang gültig, du kannst die weiterhin auf allen pcs in deinem haushalt einsetzen.

dieses programm ist höchst sinnvoll. nehmen wir an, du surfst in der sandbox auf einer internet seite, die einen trojaner enthällt,, dieser gelangt in die sandbox, du kannst dir zu 99 % sicher sein, dass er dort nicht raus kommt, dass heißt, mit leeren der sandbox ist der trojaner nicht mehr auf dem pc. so hättest du dir dein problem höchst warscheinlich ersparrt. endere bitte alle passwörter.