Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Internet Explorer öffnet sich von selber mit Werbung, brauche hilfe (https://www.trojaner-board.de/40682-internet-explorer-oeffnet-selber-werbung-brauche-hilfe.html)

s2k 07.07.2007 09:08
Internet Explorer öffnet sich von selber mit Werbung, brauche hilfe
 
Hallo an alle!

Ich möchte mich schonmal GANZ herzlich bedanken für jegliche hilfe aller art. Für euch wirds sicher ein Kinderspiel, aber ich bin ratlos. Ich benutze Firefox und habe neulich auf einer nicht ganz koscheren(?) Seite etwas heruntergeladen und blind eine exe ausgeführt. ... die Strafe folgte sofort.. 3-4 mal am Tag geht mein IE auf und zeigt Werbung an oder will ein "anti-virus"-programm runterladen -.-:heulen:

Hier mein Logfile

Logfile of HijackThis v1.99.1
Scan saved at 10:00:27, on 07.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Program Files\ASUS\ASUS DH Remote\AsDhRemote.exe
C:\Programme\ASUS WiFi-AP Solo\RtWLan.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Dennis\Eigene Dateien\Downloads\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [Ai Quicker Help] "C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [itype] "c:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [icq.com] rundll32.exe "C:\WINDOWS\system32\tpafcnen.dll",forkonce
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Danke schonmal ! grüße, Dennis:)

Win32/Jeefo 07.07.2007 09:15
Folgende Datei bei Virustotal überprüfen:

C:\WINDOWS\system32\tpafcnen.dll

Link in meiner Signatur. Einfach in das weiße Kästchen oben rechts auf der Seite schreiben und den "Send" Button betätigen. Der Scan ist beendet wenn der Status auf "finished" steht.



Abkopieren und hier posten.

s2k 07.07.2007 09:30
hey jeefo, danke


scheint ja ein treffer zu sein

Code:
Complete scanning result of "tpafcnen.dll", received in VirusTotal at 07.07.2007, 10:24:08 (CET).

Antivirus        Version        Update        Result
AhnLab-V3        2007.7.7.0        07.06.2007        no virus found
AntiVir        7.4.0.39        07.06.2007        no virus found
Authentium        4.93.8        07.07.2007        no virus found
Avast        4.7.997.0        07.06.2007        no virus found
AVG        7.5.0.476        07.06.2007        no virus found
BitDefender        7.2        07.07.2007        no virus found
CAT-QuickHeal        9.00        07.06.2007        no virus found
ClamAV        devel-20070416        07.06.2007        no virus found
DrWeb        4.33        07.07.2007        Trojan.Virtumod
eSafe        7.0.15.0        07.06.2007        Suspicious Trojan/Worm
eTrust-Vet        30.8.3769        07.07.2007        no virus found
Ewido        4.0        07.06.2007        no virus found
FileAdvisor        1        07.07.2007        no virus found
Fortinet        2.91.0.0        07.07.2007        no virus found
F-Prot        4.3.2.48        07.06.2007        no virus found
F-Secure        6.70.13260.0        07.06.2007        no virus found
Ikarus        T3.1.1.8        07.07.2007        Trojan-PWS.Gamania.B
Kaspersky        4.0.2.24        07.07.2007        no virus found
McAfee        5069        07.06.2007        no virus found
Microsoft        1.2704        07.07.2007        no virus found
NOD32v2        2383        07.06.2007        no virus found
Norman        5.80.02        07.06.2007        no virus found
Panda        9.0.0.4        07.07.2007        Suspicious file
Sophos        4.19.0        07.06.2007        no virus found
Sunbelt        2.2.907.0        07.07.2007        VIPRE.Suspicious
Symantec        10        07.07.2007        Trojan.Vundo
TheHacker        6.1.6.143        07.05.2007        no virus found
VBA32        3.12.0.2        07.07.2007        no virus found
VirusBuster        4.3.23:9        07.06.2007        no virus found
Webwasher-Gateway        6.0.1        07.07.2007        Virus.Win32.FileInfector.gen (suspicious)

Aditional Information
File size: 128576 bytes
MD5: 02901384b2a1683803c9ae8d8160f207
SHA1: 3bec21c0a41f32b78ab67f2dc24c160066505973
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Win32/Jeefo 07.07.2007 09:40
Hm, lade dir den Vundofix, link in meiner Signatur. Öffnen:

-> Scan for Vundo
Dann wenn, Treffer erschienen sind:

-> Remove Vundo


Ich weiß nicht mehr, ob dein PC sich neustarten wird, kann aber sein.

Erstelle zum Schluss ein neues Hijackthis-Log und erstatte Meldung über den Vundofix. (Treffer usw. ) Wenn der Vundofix nichts findet, poste dies hier.

s2k 07.07.2007 10:18
hey werd ich machen :)



hab irgendwie immer meldungen von diesem programm
http://www.sophos.de/security/analyses/winantiviruspro.html

und er will es runterladen Oo


ich werd das mal machen was du geschrieben hast

Win32/Jeefo 07.07.2007 10:24
Das würde ich dir empfehlen, dürfte auch nur 10 Minuten dauern. Und Vundo ist sehr weit verbreitet und auch gefährlich, deshalb solltest du nicht zögern. Das ist wohl dein größtes Problem, vielleicht sind die anderen Probleme schon damit behoben, dass du dieses Problem löst, wenn nicht, werden wir uns darum nachher kümmern, wenn wir Vundo wegbekommen haben.

s2k 07.07.2007 10:27
inwiefern denn gefährlich? Trojaner?

also vundo hat er gefunden (waren einige dateien) und ich habe sie entfernen lassen. PC neustart war grade dran.
jetzt sieht mein hjacklog so aus:


Logfile of HijackThis v1.99.1
Scan saved at 11:24:55, on 07.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Program Files\ASUS\ASUS DH Remote\AsDhRemote.exe
C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Programme\ASUS WiFi-AP Solo\RtWLan.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Dokumente und Einstellungen\Dennis\Eigene Dateien\Downloads\hijackthis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {634C7583-74C6-4FEF-BD06-9721761A6815} - C:\WINDOWS\system32\xxyawxv.dll (file missing)
O2 - BHO: (no name) - {75187D67-61FF-4BEF-89CC-56A99B2437AE} - C:\WINDOWS\system32\awtqn.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [Ai Quicker Help] "C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [itype] "c:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Win32/Jeefo 07.07.2007 10:34
Ist weg!


Scanne mit Hijackthis nochmal und setze dann vor folgende Einträge ( Suchen! ) Einen Haken:


O2 - BHO: (no name) - {75187D67-61FF-4BEF-89CC-56A99B2437AE} - C:\WINDOWS\system32\awtqn.dll (file missing)


O2 - BHO: (no name) - {634C7583-74C6-4FEF-BD06-9721761A6815} - C:\WINDOWS\system32\xxyawxv.dll (file missing)




und betätige den Button "Fix checked".


Der Trojaner Vundo ist nun entfernt. Jetzt dürften sich die Pop-Ups erledigt haben, wenn nicht, poste nochmal hier. Meine Hand lege ich allerdings nicht ins Feuer, lediglich der Trojaner Vundo wurde entfernt, das war alles Schädliche, was man aus dem Log sehen konnte, der jetzt sauber ist. Aber das muss nichts heißen. Wenn du noch Fragen hast, kannst du die gerne stellen.

s2k 07.07.2007 10:37
Fragen habe ich nicht nein!

Aber ein ganz herzliches Danke nochmal für deine Hilfe!!! Das hat mir wohl viele Stunden Neuinstallation erspart :):Boogie: :Boogie:

:daumenhoc

Win32/Jeefo 07.07.2007 10:38
Kein Problem :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:10 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131