Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   ESET blockiert ad.ad-srv.net/zone/mek241pmw2wa (https://www.trojaner-board.de/108662-eset-blockiert-ad-ad-srv-net-zone-mek241pmw2wa.html)

VBvisual 27.01.2012 15:19
ESET blockiert ad.ad-srv.net/zone/mek241pmw2wa
 
Guten Tag!

Auf meinem Büro-Rechner surfe ich mir Chrome. Ich besuche damit nur bekannte Seiten. Wenn ich den bekannten Bereich verlasse, melde ich mich als Gast („Mini“) an und surfe in Sandboxie (mit Chrome, Firefox oder IE).
Heute meldete sich plötzlich ESET, die Verbindung "ad.ad-srv.net/tone/mek241pmw2wa" sei blockiert worden. Einen Moment später war es eine ähnliche. Danach war nichts mehr.
Im ESET-Logfile fand ich komischerweise Einträge:
16.01.2012 15:34:27 HTTP-Prüfung Archiv h**p://bobiporn.com/?__from_jsc=1&force_ref=hxxp://eroticahub.com/&__usr_time=Mon Jan 16 15:34:26 UTC+0100 2012&__jsc_enable=1 JS/Redirector.B Virus Verbindung getrennt - in Quarantäne kopiert RECHENHELD1\Mini Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: C:\Programme\Internet Explorer\iexplore.exe.
und
16.01.2012 13:32:30 HTTP-Prüfung Datei h**p://1d13l98.epac.to/content/field.swf SWF/TrojanDownloader.Agent.NDB Trojaner Verbindung getrennt - in Quarantäne kopiert RECHENHELD1\Mini Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: C:\Programme\Internet Explorer\iexplore.exe.

Ich habe HijackThis heruntergeladen und den Rechner gescannt. (Ich hatte in Erinnerung, HijackThis würde den Rechner beim booten scannen - das war aber nicht der Fall. Der Scan erfolgte binnen weniger Sekunden sofort.)
Daraufhin habe ich noch die temporären Internet-Files und alle Temp-Ordner gelöscht. Dabei fiel mir auf, dass ich auch als Admin nicht die temporaryInternetFile-Ordner der anderen User sehen konnte.
Seit einigen Wochen habe ich Skype. Funktioniert gut, nur ab und zu meldet sich beim Öffnen des Browsers unangemeldet eine Skype-Seite und selten einmal hängt der Browser, weil die Skype-Toolbar nicht reagiert, obwohl ich die gar nicht habe.
Ich weiß nicht, wie ich diese Situation einschätzen soll. Für Hilfe wäre ich dankbar.

Vielen Dank und herzliche Grüße

Das Protokoll:

Code:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:35:34, on 27.01.2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ArchVision\ArchVision Content Manager\rpcACMapp.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programme\iolo\common\lib\ioloServiceManager.exe
C:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe
C:\Programme\Autodesk\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
C:\Programme\Autodesk\3ds Max 2010\mentalray\satellite\raysat_3dsmax2010_32server.exe
C:\Programme\Autodesk\3ds Max 2011\mentalimages\satellite\raysat_3dsmax2011_32server.exe
C:\Programme\Secunia\PSI\PSIA.exe
C:\Programme\ThreatFire\TFService.exe
C:\Programme\TomTom HOME 2\TomTomHOMEService.exe
C:\Programme\Secunia\PSI\sua.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Sharp\Sharpdesk\SharpTray.exe
C:\Programme\Sharp\Sharpdesk\FtpServer.exe
C:\Programme\SHARP\Sharpdesk\nsapp.exe
C:\Programme\ThreatFire\TFTray.exe
C:\PROGRA~1\Eraser\Eraser.exe
C:\Programme\SpeedProject\SpeedCommander 11\SpeedCommander.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe
C:\Programme\Sandboxie\SbieCtrl.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Secunia\PSI\psi_tray.exe
C:\Programme\Microsoft Office\Office14\ONENOTEM.EXE
D:\zur_Inst\HijackThis\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.vbvisual.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [SharpTray.exe] "C:\Programme\Sharp\Sharpdesk\SharpTray.exe"
O4 - HKLM\..\Run: [FtpServer.exe] "C:\Programme\Sharp\Sharpdesk\FtpServer.exe" -usedefault
O4 - HKLM\..\Run: [IndexTray.exe] "C:\Programme\Sharp\Sharpdesk\IndexTray.exe" /n
O4 - HKLM\..\Run: [ThreatFire] C:\Programme\ThreatFire\TFTray.exe
O4 - HKLM\..\Run: [Eraser] "C:\PROGRA~1\Eraser\Eraser.exe" --atRestart
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe" -s
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\B*****n\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [SandboxieControl] "C:\Programme\Sandboxie\SbieCtrl.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office14\ONENOTEM.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Secunia PSI Tray.lnk = C:\Programme\Secunia\PSI\psi_tray.exe
O8 - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~1\MICROS~2\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - h**p://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = VBarchitekten.local
O17 - HKLM\Software\..\Telephony: DomainName = VBarchitekten.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = VBarchitekten.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = VBarchitekten.local
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: ArchVision Content Manager Service - ArchVision - C:\Programme\ArchVision\ArchVision Content Manager\rpcACMapp.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bentley Dgn Indexing Service (DgnIndexingService) - Bentley Systems Inc. - C:\Programme\Gemeinsame Dateien\Bentley Shared\Dgn Indexer\DgnIndexServer.exe
O23 - Service: ESET h**p Server (Eh**pSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\Eh**pSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iolo FileInfoList Service (ioloFileInfoList) - Unknown owner - C:\Programme\iolo\common\lib\ioloServiceManager.exe
O23 - Service: iolo System Service (ioloSystemService) - Unknown owner - C:\Programme\iolo\common\lib\ioloServiceManager.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft Limited - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2008 32-bit 32-bit (mi-raysat_3dsMax2008_32) - Unknown owner - C:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max Design 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - C:\Programme\Autodesk\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
O23 - Service: mental ray 3.7 Satellite for Autodesk 3ds Max 2010 32-bit 32-bit (mi-raysat_3dsmax2010_32) - Unknown owner - C:\Programme\Autodesk\3ds Max 2010\mentalray\satellite\raysat_3dsmax2010_32server.exe
O23 - Service: mental ray 3.8 Satellite for Autodesk 3ds Max 2011 32-bit 32-bit (mi-raysat_3dsmax2011_32) - Unknown owner - C:\Programme\Autodesk\3ds Max 2011\mentalimages\satellite\raysat_3dsmax2011_32server.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandboxie Service (SbieSvc) - SANDBOXIE L.T.D - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: Secunia PSI Agent - Secunia - C:\Programme\Secunia\PSI\PSIA.exe
O23 - Service: Secunia Update Agent - Secunia - C:\Programme\Secunia\PSI\sua.exe
O23 - Service: ThreatFire - PC Tools - C:\Programme\ThreatFire\TFService.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe

--
End of file - 10827 bytes

cosinus 27.01.2012 15:50
http://www.trojaner-board.de/images/icons/icon4.gif Bitte beachten http://www.trojaner-board.de/images/icons/icon4.gif => http://www.trojaner-board.de/95173-b...es-posten.html und http://www.trojaner-board.de/69886-a...-beachten.html

VBvisual 01.02.2012 14:43
Nue: ESET blockiert ad.ad-srv.net/zone/mek241pmw2wa
 
Guten Tag!

Ich hatte die Frage schon gestellt, aber das Thema falsch erstellt. Ich bitte um Entschuldigung. Hier noch einmal nach der Anleitung so gut ich es kann.

Auf meinem Büro-Rechner surfe ich mir Chrome. Ich besuche damit nur bekannte Seiten. Wenn ich den bekannten Bereich verlasse, melde ich mich als Gast („Mini“) an und surfe in Sandboxie (mit Chrome, Firefox oder IE).
Heute meldete sich plötzlich ESET, die Verbindung "ad.ad-srv.net/tone/mek241pmw2wa" sei blockiert worden. Einen Moment später war es eine ähnliche. Danach war nichts mehr.
Im ESET-Logfile fand ich komischerweise Einträge:
16.01.2012 15:34:27 HTTP-Prüfung Archiv h**p://bobiporn.com/?__from_jsc=1&force_ref=hxxp://eroticahub.com/&__usr_time=Mon Jan 16 15:34:26 UTC+0100 2012&__jsc_enable=1 JS/Redirector.B Virus Verbindung getrennt - in Quarantäne kopiert RECHENHELD1\Mini Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: C:\Programme\Internet Explorer\iexplore.exe.
und
16.01.2012 13:32:30 HTTP-Prüfung Datei h**p://1d13l98.epac.to/content/field.swf SWF/TrojanDownloader.Agent.NDB Trojaner Verbindung getrennt - in Quarantäne kopiert RECHENHELD1\Mini Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: C:\Programme\Internet Explorer\iexplore.exe.

Daraufhin habe ich noch die temporären Internet-Files und alle Temp-Ordner gelöscht. Dabei fiel mir auf, dass ich auch als Admin nicht die temporaryInternetFile-Ordner der anderen User sehen konnte.
Seit einigen Wochen habe ich Skype. Funktioniert gut, nur ab und zu meldet sich beim Öffnen des Browsers unangemeldet eine Skype-Seite und selten einmal hängt der Browser, weil die Skype-Toolbar nicht reagiert, obwohl ich die gar nicht habe.
Ich weiß nicht, wie ich diese Situation einschätzen soll. Für Hilfe wäre ich dankbar.

Die Logfiles von OTL und Gmer hängen an. Extra.txt ist einige Tage alt. Ich hatte Freitag bereits begonnen, musste dann aber weg. Heute wurde die Datei nicht neu erstellt, als OTL lief. Ich habe daher die alte angehängt. Am Rechner ist zwischen Freitag und heute nichts passiert. Er stand still.

Vielen Dank und herzliche Grüße!

cosinus 03.02.2012 14:01
Dafür hättest du doch keinen neuen Strang erstellen müssen. Antwort in deinem Urspungsposting hätte gereich. Ich führe diese Themen mal zusammen.

cosinus 03.02.2012 14:03
Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

VBvisual 03.02.2012 15:09
Der Malwarebytes-scan läuft, dann kommt ESET. Ich werde die Logs posten. Wahrscheinlich Montag.

Danke für die Hilfe!


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:16 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27