Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: IE PopUp shadowww.com

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 29.11.2005, 08:10   #1
ShrinersPark
 
IE PopUp shadowww.com - Frage

IE PopUp shadowww.com



Hi!

Ich bekomme seit gestern etwa alle 10 Minuten ein IE PopUp der Seite h**p://www.shadowww.com (irgendwas russisches)

Habe bereits VirusScan, Ad-Aware und Spybot laufen lassen, aber keiner findet was. Abgesehen davon, daß es nervig ist, weiss ich nicht, ob es auch noch andere un-nette Dinge im Hintergrund treibt.

Könnt Ihr helfen?

Danke,
Shriners*

Geändert von ShrinersPark (29.11.2005 um 08:34 Uhr)

Alt 29.11.2005, 08:19   #2
stupormundi
 
IE PopUp shadowww.com - Standard

IE PopUp shadowww.com



Bitte deaktiviere den link!
Und poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier!
stupormundi
__________________

__________________

Geändert von stupormundi (29.11.2005 um 08:25 Uhr)

Alt 29.11.2005, 08:28   #3
ShrinersPark
 
IE PopUp shadowww.com - Standard

IE PopUp shadowww.com



hALLO;

und wie deaktiviere ich den link ?

danke,

Frauke*
__________________

Alt 29.11.2005, 08:30   #4
stupormundi
 
IE PopUp shadowww.com - Standard

IE PopUp shadowww.com



Mit dem Button 'editieren' rechts unten am Beitragsfenster
Deaktivieren durch editieren wie in meiner Signatur beschrieben!
stupormundi
__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Alt 29.11.2005, 08:49   #5
ShrinersPark
 
IE PopUp shadowww.com - Standard

IE PopUp shadowww.com



Hi!

Das aktuelle Log:

Logfile of HijackThis v1.99.1
Scan saved at 08:35:04, on 29.11.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINNT\System32\ni_nic.exe
C:\WINNT\System32\NMSSvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wm.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\msping.exe
C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
C:\WINNT\System32\hkcmd.exe
C:\WINNT\System32\dpmw32.exe
C:\WINNT\system32\NWTRAY.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AOL 9.0a\aoltray.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\AOL 9.0a\waol.exe
C:\Programme\Microsoft Office\Office\1031\wfxmsrvr.exe
C:\PROGRA~1\MICROS~2\Office\1031\OLFMOD32.EXE
C:\Programme\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\user\Desktop\HijackThis.exe

O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} -
C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio -
{8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -
c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [DrvLsnr] C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [NDPS] C:\WINNT\System32\dpmw32.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common
Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network
Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe"
-atboottime
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame
Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched]
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame
Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe"
/background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search &
Destroy\TeaTimer.exe
O4 - Startup: Astrum.url
O4 - Startup: Microsoft Outlook (3).lnk = C:\Programme\Microsoft
Office\Office\OUTLOOK.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O8 - Extra context menu item: &Google-Suche -
res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen -
res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite -
res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten -
res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten -
res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} -
C:\Programme\AIM95\aim.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control
(redist)) - h**p://10.147.38.33/msrdp.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) -
h**p://142.22.58.150/activex/AxisCamControl.cab
O16 - DPF: {C4847596-972C-11D0-9567-00A0C9273C2A} (Crystal Report Smart Viewer
7) -
h**p://10.148.15.205/spxweb/spxweb/ma/reports/ActiveXViewer/ActiveXViewer.cabO17 -
HKLM\System\CCS\Services\Tcpip\..\{7B01F9E1-95AC-4461-9C9C-7FAE4F0CBB73}:
NameServer = 205.188.146.145
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. -
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany -
C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) -
VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner -
C:\Programme\Network Associates\Common Framework\FrameworkService.exe"
/ServiceStart (file missing)
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. -
C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network
Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Intel Client Instrumentation for DMI (ni_nic) - Intel® Corporation -
C:\WINNT\System32\ni_nic.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation -
C:\WINNT\System32\NMSSvc.exe
O23 - Service: Pml Driver HPZ12 - HP -
C:\WINNT\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog
Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Novell Workstation Manager (WM) - Novell, Inc. -
C:\WINNT\System32\wm.exe


Alt 29.11.2005, 09:09   #6
stupormundi
 
IE PopUp shadowww.com - Standard

IE PopUp shadowww.com



Servus!
Lass´ mal diese Datei
Zitat:
C:\WINNT\system32\msping.exe
bei http://virusscan.jotti.org/de prüfen und poste das Ergebnis anschließend hier. Falls Du eine Fehlermeldung (0 bytes ...) bekommst, beende den zur Datei gehörenden Prozess und/oder deaktiviere temporär Deine Personal FireWall.
Sollte beides nichts bringen, kopiere die Dateien in ein anderes Verzeichnis, benenne sie um und versuche es damit. Zum Auffinden versteckter Dateien nutze den link in meiner Signatur
stupormundi
__________________
--> IE PopUp shadowww.com

Alt 29.11.2005, 09:25   #7
ShrinersPark
 
IE PopUp shadowww.com - Standard

IE PopUp shadowww.com



Auslastung: 0% 100% Datei: msping.exe Status: VIELLEICHT INFIZIERT/MALWARE (Anmerkung: Diese Datei wurde lediglich durch die heuristische Detektion als Malware angezeigt. Die Ergebnisse des Scans werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: UPX
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web BACKDOOR.Trojan gefunden (mögliche Variante)
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 probably unknown NewHeur_PE gefunden (mögliche Variante)
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

Alt 29.11.2005, 09:32   #8
stupormundi
 
IE PopUp shadowww.com - Standard

IE PopUp shadowww.com



Hm, ich hatte mir eigentlich ein eindeutigeres Ergebnis erwartet. Folge mal dieser Anleitung http://www.trojaner-board.de/showthread.php?t=19273 und sende die Datei wie beschrieben an ein paar der angegebenen Adressen. Hier wird die Antwort allerdings etwas dauern. Poste die Antworten anschließend hier!
Sollte das nämlich - wie ich anfangs vermutet habe - ein Backdoor sein, wird eine Bereinigung nicht sinnvoll sein. Der Aufwand zur Klärung lohnt also!
stupormundi
__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Geändert von stupormundi (29.11.2005 um 09:41 Uhr)

Alt 29.11.2005, 11:15   #9
ShrinersPark
 
IE PopUp shadowww.com - Standard

IE PopUp shadowww.com



Die ersten Antworten sind schon da:

Dear ShrinersPark@aol.com,

Your request has been analyzed. New virus record has been added.
Trojan.Click.792


Thank you for the cooperation.

--
Yours sincerely,
Virus Monitoring Service Doctor Web Ltd.
-------------------------------------------------------------
Hi

Actually this is surely a bad software, but yet goes undetected for most AV software.

It's some upx packed exe that creates the following registry auto-run key.

HKEY_LOCAL_MACHINE Name of Subkey: SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

Name of Value: msping.exe Content: C:\WINNT\System32\msping.exe

So you should delete them of course, as well as the File it creates (inside your windows system directory).

It tries to connect to some php counter script on a webpage and tries to load stuff from there.

So you should delete the registry keys, the files and terminate the msping process if you can find it withing your TaskManager

Best regards

Florian Eichelberger
Ikarus Software

Alt 29.11.2005, 11:21   #10
ShrinersPark
 
IE PopUp shadowww.com - Standard

IE PopUp shadowww.com



Und noch eine Antwort

Hello.

I detected it as Backdoor, becouse it download file from internet with comands.


Detection for this malware has been added to the next antiviral bases update.
Recomendation: select type "Extended bases" of updates.


--
Regards, Alexey Malyshev
Virus analyst, Kaspersky Lab.

e-mail: newvirus@kaspersky.com
http://www.kaspersky.com/
http://www.viruslist.com/en/weblog

Alt 29.11.2005, 11:24   #11
stupormundi
 
IE PopUp shadowww.com - Standard

IE PopUp shadowww.com



Servus!
Das habe ich vermutet!
Zuerst Gratulation: Mit diesen Einsendungen hast Du einen (Klitze)kleinen Beitrag zur Aktualisierung der Signaturen beigetragen!
Weniger schön: Mein Rat an Dich: http://www.trojaner-board.de/showthread.php?t=12154
Das ist die einzig sinnvolle Maßnahme
alles Gute, stupormundi
__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Alt 29.11.2005, 11:54   #12
ShrinersPark
 
IE PopUp shadowww.com - Standard

IE PopUp shadowww.com



Danke erstmal...mal schauen, wie weit ich komme

Antwort

Themen zu IE PopUp shadowww.com
ad-aware, alle 10 minuten, andere, bereits, dinge, gestern, helfen, hintergrund, laufe, laufen, minute, minuten, nervig, popup, seite, spybot, virusscan



Ähnliche Themen: IE PopUp shadowww.com


  1. Popup Systweak ect...
    Plagegeister aller Art und deren Bekämpfung - 25.09.2013 (5)
  2. Popup
    Plagegeister aller Art und deren Bekämpfung - 19.05.2009 (3)
  3. Popup-Werbung trotz Popup-Blocker
    Plagegeister aller Art und deren Bekämpfung - 04.01.2009 (4)
  4. Popup-Werbung trotz Popup-Blocker
    Mülltonne - 03.01.2009 (0)
  5. Werbe-PopUp mit IE7
    Log-Analyse und Auswertung - 24.11.2008 (7)
  6. PopUp Problem
    Log-Analyse und Auswertung - 11.09.2008 (7)
  7. Popup Werbung im IE
    Log-Analyse und Auswertung - 04.06.2008 (9)
  8. CID Popup
    Log-Analyse und Auswertung - 06.03.2008 (6)
  9. CiD Popup -.-
    Plagegeister aller Art und deren Bekämpfung - 11.02.2008 (1)
  10. CiD Popup
    Mülltonne - 09.01.2008 (0)
  11. Popup von www.clean32.com
    Mülltonne - 11.07.2007 (1)
  12. Popup Problem
    Log-Analyse und Auswertung - 17.10.2006 (3)
  13. Popup's
    Log-Analyse und Auswertung - 01.05.2006 (2)
  14. Popup problemme
    Plagegeister aller Art und deren Bekämpfung - 25.12.2005 (9)
  15. Popup Trojaner
    Log-Analyse und Auswertung - 10.11.2005 (4)
  16. IDR Popup
    Plagegeister aller Art und deren Bekämpfung - 03.08.2004 (2)
  17. IDR Popup
    Plagegeister aller Art und deren Bekämpfung - 26.07.2004 (3)

Zum Thema IE PopUp shadowww.com - Hi! Ich bekomme seit gestern etwa alle 10 Minuten ein IE PopUp der Seite h**p://www.shadowww.com (irgendwas russisches) Habe bereits VirusScan, Ad-Aware und Spybot laufen lassen, aber keiner findet was. Abgesehen - IE PopUp shadowww.com...
Archiv
Du betrachtest: IE PopUp shadowww.com auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.