Trojaner-Board - exoclick.com und virusalerts

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - exoclick.com und virusalerts (https://www.trojaner-board.de/68331-exoclick-com-virusalerts.html)

exoclick.com und virusalerts

Hi.
Das ist mein erster Post.
Nun hab ich gleich mal ein Problem. ;(
Hab schon bei google gesucht abe rnix gefunden.

Ich habe mir irgendein Virus eingefangen.
Seit Heute findet der immerwieder Viren im Temp Ordner.
Und wenn ich bei FireFox oder Internet Explorer bei google irgendwo drauf klicke komme ich manchmal auf Seiten wie Mamma.com oder ebay...

Und weitergeleitet wird das von exoclick.com

Was soll ich tun?

Hi Jay2 und :hallo:

Versuchs mal mit Ccleaner ;)
Wenn die Probleme dennoch weiterbestehen sollten, kannst du ein Hijackthis Logfile posten:daumenhoc

Hallo.

Ich habe leider das gleiche Problem. Abgesehen von den Viren im Temp-Ordner, die hab ich nicht. Den CCleaner habe ich durchlaufen lassen (Standardeinstellungen) und als das exoclick-Weitergeleite angefangen hat, habe ich auch eine komplette, zehnstündige AntiVir Systemprüfung durchlaufen lassen. Leider alles ohne Erfolg...

Hier ist mein Hijackthis Log:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:44:59, on 24.02.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Pen_Tablet.exe

C:\WINDOWS\system32\Wacom_Tablet.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe

C:\WINDOWS\system32\Pen_Tablet.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe

C:\WINDOWS\system32\Wacom_Tablet.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Miranda IM\miranda32.exe

C:\WINDOWS\system32\java.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Mozilla Firefox\firefox.exe

F:\Downloads\HiJackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O1 - Hosts: 62.146.66.181 dl1.avgate.net

O1 - Hosts: 62.146.66.182 dl2.avgate.net

O1 - Hosts: 62.146.66.183 dl3.avgate.net

O1 - Hosts: 62.146.66.184 dl4.avgate.net

O1 - Hosts: 62.146.66.185 dl5.avgate.net

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')

O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{7DED8D28-CB81-4F88-9FC6-C3C69E08E0F2}: NameServer = 192.168.2.1,192.168.2.2

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe

O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - C:\WINDOWS\system32\Wacom_Tablet.exe
 

--

End of file - 7852 bytes

Ich hoffe, da wird jemand schlau draus oO Das Wacom-Pen-Tablet Zeug sind die Treiber für mein Grafik-Tablet, nix böses... Vielen Dank.

Laut McAfee SiteAdvisor ist exoclick.com eigenlich unbedenklich. Aber es ist schon auffällig, dass man immer wieder über exoclick auf eine andere Seite geleitet wird, ebay, emule-Downloads, Adultzeug, Seiten die gar nicht funktionieren... Es muss ja auch nicht unbedingt zwangsläufig ein Virus sein? Und ich glaube bei mir war das nicht nur bei Google-Links sondern auch bei anderen Seiten aufgetreten. Mir fällt ein, bei meinem Linux mit Firefox hatte ich das Problem übrigens nicht.

1.) Es existiert bereits ein aktuelleres Service Pack. Service Packs erhöhen die Sicherheit deines Systems. Besuche Microsoft's Windowsupdate Seite um dir das neuste Service Pack herunterzuladen.

2.) In deiem Logfile findet sich kein aktiver Prozess, der auf eine aktive Firewall hindeutet. Mögliche Gründe:
(1.) Du benutzt die Windows XP eigene oder eine Hardware Firewall.
(2.) Du benutzt eine Firewall, die uns nicht bekannt ist.
(3.) Zur Zeit ist keine Firewall auf deinem System aktiv oder
(4.) du verwendest keine Firewall.
Aktiviere diese bitte unbedingt ;)

Exoclick kenn ich leider nicht, aber wie ist es wenn du FireFox neu herunterlädst?

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

C:\WINDOWS\system32\java.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Scanne nun mal bitte mit Malwarebytes, lösche alles und poste das Log.

grüsse trojan-death

1.) Servicepack kann noch ne Weile dauern :) Auf den Server von download.microsoft.com höchstselbst kann man/ich gerade nicht zugreifen. Ich versuch weiterzusuchen.

2.) Die Windoof-Firewall ist aktiv.

3.) Runterladen und neuinstallieren von Firefox habe ich schon probiert. Leider ohne Erfolg. Und dieses seltsame Problem tritt auch beim IExplorer auf...

4.)Online Prüfung:

Code:

Die Datei wurde bereits analysiert:

MD5:         c583655ebbe239c50269b941384f4def

First received:         -

Datum         2009.02.12 22:55:47 (CET) [>11D]

Ergebnisse         0/39

Permalink:         analisis/90ed2035414256912f41d905446b514b

nochmalige Analyse ergibt:

Code:

 Datei java.exe empfangen 2009.02.24 19:45:22 (CET)

Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 0/39 (0%)

Laden der Serverinformationen...

Ihre Datei wartet momentan auf Position: ___.

Geschätzte Startzeit ist zwischen ___ und ___ .

Dieses Fenster bis zum Abschluss des Scans nicht schließen.

Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.

Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.

Ihre Datei wird momentan von VirusTotal überprüft,

Ergebnisse werden sofort nach der Generierung angezeigt.

Filter Filter

Drucken der Ergebnisse Drucken der Ergebnisse

Datei existiert nicht oder dessen Lebensdauer wurde überschritten

Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
 

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.

Email:         

        

Antivirus         Version         letzte aktualisierung         Ergebnis

a-squared        4.0.0.93        2009.02.24        -

AhnLab-V3        2009.2.24.0        2009.02.24        -

AntiVir        7.9.0.88        2009.02.24        -

Authentium        5.1.0.4        2009.02.24        -

Avast        4.8.1335.0        2009.02.24        -

AVG        8.0.0.237        2009.02.24        -

BitDefender        7.2        2009.02.24        -

CAT-QuickHeal        10.00        2009.02.22        -

ClamAV        0.94.1        2009.02.24        -

Comodo        986        2009.02.20        -

DrWeb        4.44.0.09170        2009.02.24        -

eSafe        7.0.17.0        2009.02.19        -

eTrust-Vet        31.6.6372        2009.02.24        -

F-Prot        4.4.4.56        2009.02.24        -

F-Secure        8.0.14470.0        2009.02.24        -

Fortinet        3.117.0.0        2009.02.24        -

GData        19        2009.02.24        -

Ikarus        T3.1.1.45.0        2009.02.24        -

K7AntiVirus        7.10.639        2009.02.21        -

Kaspersky        7.0.0.125        2009.02.24        -

McAfee        5535        2009.02.24        -

McAfee+Artemis        5534        2009.02.23        -

Microsoft        1.4306        2009.02.24        -

NOD32        3886        2009.02.24        -

Norman        6.00.06        2009.02.24        -

nProtect        2009.1.8.0        2009.02.24        -

Panda        10.0.0.10        2009.02.23        -

PCTools        4.4.2.0        2009.02.24        -

Prevx1        V2        2009.02.24        -

Rising        21.18.12.00        2009.02.24        -

SecureWeb-Gateway        6.7.6        2009.02.24        -

Sophos        4.39.0        2009.02.24        -

Sunbelt        3.2.1856.2        2009.02.24        -

Symantec        10        2009.02.24        -

TheHacker        6.3.2.5.264        2009.02.24        -

TrendMicro        8.700.0.1004        2009.02.24        -

VBA32        3.12.10.0        2009.02.24        -

ViRobot        2009.2.24.1621        2009.02.24        -

VirusBuster        4.5.11.0        2009.02.24        -

weitere Informationen

File size: 144792 bytes

MD5...: c583655ebbe239c50269b941384f4def

SHA1..: dd020103f396fe3405ddb9d3f4bb4178335114c6

SHA256: 0e9f3421439b2011e1cfc29a3f20bd545d46095d1a6312cad936f6aa055ad257

SHA512: 2ab9e67f54d9f953feeecd3920fba6b5c08e95fcbc2b4ed5996a8c32756bc610

ba17aa7aa22ee2a71646b6757efe7f096273a9a522ab0f0e39f534c008203548

ssdeep: 3072:U1cQNnd2tlWmkmH1E5TrMplBSFHjZqMNq:W3NNmkY1E5TrHTvq

PEiD..: -

TrID..: File type identification

Win32 Executable MS Visual C++ (generic) (65.2%)

Win32 Executable Generic (14.7%)

Win32 Dynamic Link Library (generic) (13.1%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x40864c

timedatestamp.....: 0x49180bdc (Mon Nov 10 10:24:28 2008)

machinetype.......: 0x14c (I386)
 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x11029 0x12000 6.42 f560607b10b000ccd55cf065eb37f46e

.rdata 0x13000 0x4210 0x5000 4.64 97c1d9201244decc5b74c0403d349ef3

.data 0x18000 0x3778 0x2000 2.43 f672159fde64192e2c239d13f6fe9c55

.rsrc 0x1c000 0x7f28 0x8000 5.91 91ef2ab8022d342f6b230f4febab493a
 

( 2 imports )

> ADVAPI32.dll: RegCloseKey, RegOpenKeyExA, RegEnumKeyA, RegQueryValueExA

> KERNEL32.dll: GetModuleFileNameA, QueryPerformanceCounter, QueryPerformanceFrequency, LocalFree, FormatMessageA, GetLastError, CloseHandle, GetExitCodeProcess, WaitForSingleObject, CreateProcessA, GetCommandLineA, FreeLibrary, GetExitCodeThread, GetProcAddress, LoadLibraryA, FindFirstFileA, FindNextFileA, FindClose, ExitProcess, GetModuleHandleA, TerminateProcess, GetCurrentProcess, EnterCriticalSection, LeaveCriticalSection, MultiByteToWideChar, ExitThread, GetCurrentThreadId, CreateThread, GetFileAttributesA, GetVersionExA, HeapAlloc, HeapReAlloc, HeapFree, DeleteCriticalSection, WideCharToMultiByte, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, WriteFile, ReadFile, TlsAlloc, SetLastError, TlsFree, TlsSetValue, TlsGetValue, FlushFileBuffers, SetEnvironmentVariableA, SetEnvironmentVariableW, UnhandledExceptionFilter, GetACP, GetOEMCP, GetCPInfo, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, HeapDestroy, HeapCreate, VirtualFree, SetStdHandle, VirtualAlloc, VirtualProtect, GetSystemInfo, VirtualQuery, SetFilePointer, InitializeCriticalSection, RtlUnwind, HeapSize, InterlockedExchange, CompareStringA, CompareStringW, CreateFileA, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, SetEndOfFile, GetTimeZoneInformation, FileTimeToSystemTime, FileTimeToLocalFileTime, GetDriveTypeA, GetFullPathNameA, GetCurrentDirectoryA
 

( 0 exports )

Malwarebytes (btw der aktuelle Installer ist irgendwie kaputt, der "ältere" geht) scannt gerade. Leider wird nicht angezeigt, wie lange das noch dauern wird. Aber ich lass meine Terrabyte Externe Platte mitscannen. Kann wohl noch dauern...

Verdammt :headbang::headbang::headbang:
Habe erst jetzt gemerkt, dass du einfach in einen fremden Thread postest... Das ist ziemlich unfreundlichen dem TO gegenüber!
Im normalfall musst du nen eigenen Thread erstellen aber da wir schon dabei sind, helf ich eben euch beiden gleichzeitig.

Lösch java.exe!

Und poste das Log von Malwarebytes :daumenhoc

Unfreundlich?!

Es klingt sehr danach, dass Jay2 und ich genau das gleiche Problem haben. Und ich war immer der Meinung, es sei unfreundlich, zu einem Thema ständig neue Threads aufzumachen... Außerdem kann dadurch das Problem doch viel, viel effektiver gelöst werden. Wenn wir zum Beispiel feststellen, was Jay2 und ich gemeinsam haben. Und obendrein interessiert es Jay2 doch sicher auch, ob das Problem sich irgendwie lösen lässt...

Okay, ich hab die Java.exe aus system32 gelöscht. Aber daran lag es glaub ich nicht, zumindest kommt immer noch das seltsame redirect Zeug.

Malwarebytes läuft schon seit 5 Stunden, aber hat auch schon einen Fund vermeldet. Ich wills nicht unbedingt anhalten oder unterbrechen um nachzuschaun, was es ist.

Malwarebytes ist anscheinend durchgelaufen, und meine Eltern meinten, sie hätten auch den Rechner reinigen lassen. Wird der Log irgendwo automatisch gespeichert? Ich hab nochmal einen Quickcheck gemacht und der hat nichts gefunden. Und bei ner Stichprobe mit Google-Links wurde ich eben auch nicht weitergeleitet. Anscheinend hats funktioniert.
Vielen Dank. :party:

Falls noch jemand das Problem mit exoclick hat, kann er ja noch nen Malware-Log posten. Wär zumindest mal interessant zu wissen, ob da wirklich Exoclick.com was mit zu tun hat.

Ah hier ist der Log, es möge nutzen:

Code:

Malwarebytes' Anti-Malware 1.33

Datenbank Version: 1654

Windows 5.1.2600 Service Pack 2
 

25.02.2009 07:23:14

mbam-log-2009-02-25 (07-23-14).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|H:\|)

Durchsuchte Objekte: 452050

Laufzeit: 9 hour(s), 54 minute(s), 28 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 1

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 9
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CLASSES_ROOT\videosoft (Trojan.DNSChanger) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\system32\msqpdxfdwwcexx.dll (Trojan.TDSS) -> Delete on reboot.

C:\WINDOWS\system32\drivers\msqpdxdoexvoaf.sys (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\drivers\msqpdxfedfwwns.sys (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\drivers\msqpdxfondbtrf.sys (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\drivers\msqpdxmtkpbbsj.sys (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\drivers\msqpdxmxewrnyx.sys (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\drivers\msqpdxqfueydsi.sys (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\drivers\msqpdxsrdnrffd.sys (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\drivers\msqpdxyxvkboeu.sys (Trojan.Agent) -> Quarantined and deleted successfully.

Zitat:

Zitat von annuschka (Beitrag 416173)

Unfreundlich?!

Jep :twak:

Zitat:

Zitat von annuschka (Beitrag 416173)

Und ich war immer der Meinung, es sei unfreundlich, zu einem Thema ständig neue Threads aufzumachen...

Ist deine Meinung, aber nicht die Regel an diesem Board!

Zitat:

Zitat von annuschka (Beitrag 416173)

Außerdem kann dadurch das Problem doch viel, viel effektiver gelöst werden. Wenn wir zum Beispiel feststellen, was Jay2 und ich gemeinsam haben. Und obendrein interessiert es Jay2 doch sicher auch, ob das Problem sich irgendwie lösen lässt...

Nein es wird kontraproduktiv und verwirrend für alle!
1. Woher willst DU wissen, dass Jay2 genau dasselbe Problem hat? Hast du sein HJT Log gesehen das ich nicht gesehen habe?!?!
2. Was ist wenn bei ihm nicht nur exoclick drauf ist? Wenn er nen Vundo oder sonst was drauf hat?
3. Die Vorgehensweise ist zu 99% individuell. Was ist wenn ich ihm ein Tool empfehle und du es fälschlicherweise ausführst und dein System zerstörst?
4. Im System32 kann es oft vorkommen, dass Malware genau denselben Dateinamen hat wie Systemdateien und wenn einer von euch die falsche Datei im falschen Ordner löscht, haben wir ein "kleineres" Problem :daumenhoc

Darum: IMMER nen eigenen Thread erstellen, Problem beschreiben und HJT Log poste.

grüsse trojan-death

Zum Malwarebytes Log: Sieht nicht sooo erfreulich aus...

Zitat:

C:\WINDOWS\system32\msqpdxfdwwcexx.dll (Trojan.TDSS) -> Delete on reboot.

Mit dem TDSS Rootkit kann's böse enden. Es scheint nicht das der Rootkit überhaupt installiert wurde, aber dadurch, dass du den Trojan.TDSS hast, bin ich mir nicht sicher was sich bei dir sonst noch so aufhält...

Folgendes:

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)