Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: pop ups von Strippoker und Spyware-Info

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 13.12.2004, 12:56   #1
finke
 
pop ups von Strippoker und Spyware-Info - Standard

pop ups von Strippoker und Spyware-Info



Hallo allerseits.

Hoffe ihr könnt mir weiterhelfen:
Es öffnen sich verschiedene Pop up's vorallem einer Strippoker-Seite und eine Meldung "your computer might be at risk"!
Habe mit HJT bereits einiges versucht, und immer, wenn ich glaube alles erwischt zu haben, beginnt es von neuem.

Hier meine HJT-Log:

Logfile of HijackThis v1.98.2
Scan saved at 13:54:04, on 13.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office2000\Office\1031\OLFSNT40.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE
C:\Programme\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\WINDOWS\System32\pingnet.exe
C:\WINDOWS\System32\odcfg.exe
C:\WINDOWS\explorer.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\MAPISP32.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Rep\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office2000\Office\1031\OLFSNT40.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\Autodesk Map 5 - Deu\InstFred.ocx
O16 - DPF: {33288993-5664-11D4-8B5B-00D0B73B3518} -
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - https://www.ibm.com/pc/support/access/sdccommon/download/IbmEgath.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\Autodesk Map 5 - Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\Autodesk Map 5 - Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\Autodesk Map 5 - Deu\AcPreview.ocx

Alt 13.12.2004, 13:43   #2
Lutz
 

pop ups von Strippoker und Spyware-Info - Standard

pop ups von Strippoker und Spyware-Info



Hallo finke,

lies mal bitte folgenden Beitrag und führe die genannten Schritte aus:
http://www.trojaner-board.de/showpos...7&postcount=13
__________________

__________________

Alt 13.12.2004, 14:13   #3
finke
 
pop ups von Strippoker und Spyware-Info - Standard

pop ups von Strippoker und Spyware-Info



Hmm...peinlich. Aber diesen PC krieg ich nicht in den abgesicherten Modus.

Windows XP Professional, Netzwerk PC, habe Administratorrecht.

F8-Taste will ich ja die ganze Zeit drücken, aber der Bildschirm zeigt nie den gewünschten Text an beim aufstarten.

???
__________________

Alt 13.12.2004, 14:26   #4
Lutz
 

pop ups von Strippoker und Spyware-Info - Standard

pop ups von Strippoker und Spyware-Info



Das BSI nennt hier eine alternative Methode:
http://www.bsi.bund.de/av/texte/wiederher_xp.htm
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 13.12.2004, 14:29   #5
MountainKing
 
pop ups von Strippoker und Spyware-Info - Standard

pop ups von Strippoker und Spyware-Info



Probier mal die alternative Möglichkeit über msconfig:

http://www.bsi.bund.de/av/texte/wiederher_xp.htm


Alt 13.12.2004, 14:46   #6
finke
 
pop ups von Strippoker und Spyware-Info - Standard

pop ups von Strippoker und Spyware-Info



Super...
also hier die geballte Ladung:


Microsoft Windows XP [Version 5.1.2600]
C:\WINDOWS\system32
"Files found"
---------------------------------------------------------------------

Zipping files............
---------------------------------------------------------

deleting files........
---------------------------------------------------------

"Files Not Deleted"
---------------------------------------------------------------------

Checking for version 2 files..........
Files Found
------------------------------------------------------------
pingnet.exe
odcfg.exe
netcgf.dll

Zipping files............
---------------------------------------------------------

deleting files........
---------------------------------------------------------

Files Not deleted
------------------------------------------------------------

Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Files]
"taskrun.exe"=""
"trayinfo.exe"=""
"subsys.exe"=""
"spoolsvc.exe"=""
"smlogvcc.exe"=""
"sessngr.exe"=""
"rsvxp.exe"=""
"rsn.exe"=""
"rexecs.exe"=""
"resrvc32.exe"=""
"rcip.exe"=""
"proxyconf.exe"=""
"powerconf.exe"=""
"pingnet.exe"=""
"dnsping.exe"=""
"odcfg.exe"=""
"netstart.exe"=""
"netdns.exe"=""
"getdns.exe"=""
"msswchxp.exe"=""
"msng.exe"=""
"msinfo.exe"=""
"netssl.exe"=""
"netdetect.exe"=""
"sfcver.exe"=""
"netcgf.dll"=""
"netcfg.dll"=""
"odbcfg32.dll"=""
"p2pserv.dll"=""
"clfmon.exe"=""
"netssh.exe"=""
"syspack.dll"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Processes]
"taskrun.exe"=""
"trayinfo.exe"=""
"subsys.exe"=""
"spoolsvc.exe"=""
"smlogvcc.exe"=""
"sessngr.exe"=""
"rsvxp.exe"=""
"rsn.exe"=""
"rexecs.exe"=""
"resrvc32.exe"=""
"rcip.exe"=""
"proxyconf.exe"=""
"powerconf.exe"=""
"pingnet.exe"=""
"dnsping.exe"=""
"odcfg.exe"=""
"netstart.exe"=""
"netdns.exe"=""
"getdns.exe"=""
"msswchxp.exe"=""
"msng.exe"=""
"msinfo.exe"=""
"netssl.exe"=""
"netdetect.exe"=""
"sfcver.exe"=""
"clfmon.exe"=""
"netssh.exe"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\RegKeys]
"{98DBBF16-CA43-4c33-BE80-99E6694468A4}"=""
"{E9590744-812B-46C3-96EB-33212855927D}"=""
"Files"=""
"Ms4Hd"=""
"Processes"=""
"RegKeys"=""
"RegValues"=""
"Vendor"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\RegValues]
"clfmon.exe"=""
"netssh.exe"=""
"sessngr.exe"=""
"spoolsvc.exe"=""

-----------------------------------------------------------------

Done



und HJT-Log:

Logfile of HijackThis v1.98.2
Scan saved at 15:44:42, on 13.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office2000\Office\1031\OLFSNT40.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE
C:\Programme\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Rep\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office2000\Office\1031\OLFSNT40.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\Autodesk Map 5 - Deu\InstFred.ocx
O16 - DPF: {33288993-5664-11D4-8B5B-00D0B73B3518} -
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - https://www.ibm.com/pc/support/acces...d/IbmEgath.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\Autodesk Map 5 - Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\Autodesk Map 5 - Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\Autodesk Map 5 - Deu\AcPreview.ocx

Alt 13.12.2004, 15:30   #7
Lutz
 

pop ups von Strippoker und Spyware-Info - Standard

pop ups von Strippoker und Spyware-Info



Fixe mit HijackThis noch folgendes:
Zitat:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O16 - DPF: {33288993-5664-11D4-8B5B-00D0B73B3518} -
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 13.12.2004, 15:42   #8
finke
 
pop ups von Strippoker und Spyware-Info - Icon19

pop ups von Strippoker und Spyware-Info



OK...Hoffe, das wars... Von mir aus, dürfte es langsam bereinigt sein.

Danke an Lutz...hoffe, du gehst heute mit dem Wissen schlafen, dass du ein Held bist!

Alt 13.12.2004, 19:22   #9
Lutz
 

pop ups von Strippoker und Spyware-Info - Pfeil

pop ups von Strippoker und Spyware-Info



Wenn wieder alles im grünen Bereich ist, kannst Du nun noch ein bisschen aufräumen. Die Dateien C:\bad.reg, C:\bad.zip und c:\log.txt kannst Du nun löschen. Außerdem sollten sich unter C:\windows\system32 folgende Dateien befinden, die ebenfalls gelöscht werden können:

1. rem.bat vom 4.12.2004 (Größe 30KB) und
2. zip.exe vom 21.12.1999 (Größe 124 KB)
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 04.01.2005, 13:33   #10
TOBY2
 
pop ups von Strippoker und Spyware-Info - Standard

pop ups von Strippoker und Spyware-Info



Hallo Zusammen,

habe mir wie finke auch diese läßtige Meldung: "Your Computer might bi at risk" eingefangen. Ausserdem versucht sich mein Rechner permanent ins Internet einzuwählen.
Bin relativ ratlos und bitte dringend um Hilfe!!

Danke im Voraus.

Gruß

TOBY2

Anbei die LOG-files:


Files Found.................
----------------------------------------
unlodctl.exe
spnping.exe
qappsrvc32.exe
openconf.exe
nlsfuncs.exe
dx9vbc.dll
dnsauth.dll
taskopen.exe
iecust.dll
iecust.exe

Files Not deleted.................
----------------------------------------

Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------


Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting
-----------------------------------------------------------------
hddc.dll
msde.dll
msi.dll
msij.dll
Finished

______________________________________________________


Logfile of HijackThis v1.99.0
Scan saved at 14:26:49, on 04.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\rvs_cent.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\WinPatrol.exe
C:\WINDOWS\System32\winuptd.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Dietmar Korb\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
O2 - BHO: (no name) - {48B150BD-0431-40F7-83A3-87EA4FEEC33E} - C:\WINDOWS\System32\msij.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [taskopen.exe] taskopen.exe
O4 - HKLM\..\Run: [WinPatrol] "c:\PROGRA~1\WinPatrol.exe"
O4 - HKLM\..\Run: [winuptd.exe] winuptd.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {543CDDE7-DF47-47DD-9339-0B023AC5DCA8} - http://www.medionshop.de (file missing) (HKCU)
O16 - DPF: {C94BFF60-7315-11D2-A844-0060086FEFD7} (Internet Banking und Brokerage) - http://www.izb-hb.de/SPK_Kronach/SBrokerageinstV19.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1018A287-D443-4597-AD64-96E248B4884B}: NameServer = 69.50.166.94,69.31.80.244
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C98A635-6FB9-4C9E-A97F-073F8D3FD85E}: NameServer = 69.50.166.94,69.31.80.244
O17 - HKLM\System\CCS\Services\Tcpip\..\{EDADDD24-F1CB-48B2-AB89-7A6C52A4FC07}: NameServer = 69.50.166.94,69.31.80.244
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: RVS CAPI - RVS Datentechnik GmbH, München - C:\WINDOWS\system32\rvs_cent.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Alt 12.02.2005, 13:56   #11
HM479
 
pop ups von Strippoker und Spyware-Info - Standard

pop ups von Strippoker und Spyware-Info



Hallo Lutz, ich habe genau das selbe Problem. Wollte auch schon selbst anfangen zu fixen, war mir am Ende dann doch zu gefährlich. Also sende ich Dir mal eben die HJT und die log.txt aus rem.bat.

Hoffe Du kannst mir da auf die schnelle behilflich sein.
Danke schonmal für die Mühe.
Gruß
HM479




Files Found.................
----------------------------------------
run_dos.dll
rdspclips.exe
sethcd.exe
smbdins.exe
sprestrst.exe
tsmsetup.exe
upncont.exe
wowdbe.exe
iesp2.dll

Files Not deleted.................
----------------------------------------

Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------


Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting
-----------------------------------------------------------------
msi.dll
Finished

Logfile of HijackThis v1.99.0
Scan saved at 14:28:09, on 12.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
D:\winarbor\dbisam\dbsrvr.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
D:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Iomega\AutoDisk\ADUserMon.exe
D:\programme\DriveIcons\ImgIcon.exe
C:\Programme\Companion Suite Pro LM\MFPrintServer.exe
C:\PROGRA~1\COMPAN~2\ONETOU~3.EXE
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Common\ibackup.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Eigene Dateien\Download\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5192385D-8F68-458E-8892-5087B10AE250} - C:\WINDOWS\System32\qwsxp.dll
O2 - BHO: Name - {7EE1AE60-CC97-4A38-9F89-791A7F4DC746} - C:\WINDOWS\System32\msvpo.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iesp2.dll (file missing)
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] d:\programme\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] d:\programme\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [Iomega Automatic Backup 1.0.1] D:\Programme\Common\ibackup.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MFServices] "C:\Programme\Companion Suite Pro LM\MFServices.exe" -n
O4 - HKLM\..\Run: [MFPrintServer] "C:\Programme\Companion Suite Pro LM\MFPrintServer.exe"
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [OneTouch Monitor] C:\PROGRA~1\COMPAN~2\ONETOU~3.EXE
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [rdspclips.exe] rdspclips.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [Iomega Automatic Backup] D:\Programme\Common\ibackup.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Startup: Verknüpfung mit bclient.lnk = D:\bclient\bclient.exe
O4 - Startup: Verknüpfung mit faxserv.lnk = D:\winarbor\faxserv.exe
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/bi.../GoogleNav.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{29F1F563-6934-438B-B244-542F3CA71A86}: NameServer = 69.50.188.180 195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{67F0B3CC-C713-4CFF-B1C8-3234D394BAFB}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{85F70CCE-44B6-43F8-B0BF-06F6E56F41AC}: NameServer = 69.50.188.180,195.225.176.31
O18 - Filter: text/html - {F5CE9DB9-2F8B-456F-A69B-142C22BBFA8C} - C:\WINDOWS\System32\qwsxp.dll
O18 - Filter: tœ†5ò]DÆR - {F5CE9DB9-2F8B-456F-A69B-142C22BBFA8C} - C:\WINDOWS\System32\qwsxp.dll
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: DBISAM Database Server - DBSRVR - Elevate Software - D:\winarbor\dbisam\dbsrvr.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe

Rest hab ich rausgelassen, ist von Norton IS (Platzmangel)
Miniaturansicht angehängter Grafiken
pop ups von Strippoker und Spyware-Info-firewall1.jpg  

Alt 12.02.2005, 15:20   #12
Lutz
 

pop ups von Strippoker und Spyware-Info - Standard

pop ups von Strippoker und Spyware-Info



Hallo HM479,

Ursache Deiner Probleme dürfte u.a. diese hier sein:
Zitat:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Dein Betriebssystem befindet sich quasi im Auslieferungszustand...

Einige der 04-Einträge sehen nicht gut aus!
Mach mal einen Scan mit eScan (siehe Signatur) und poste anschließend, was gefunden wurde.
Öffne dazu die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
Falls dort nichts 'weiteres' besorgniserregendes' gefunden wird, können wir eine Bereinigung versuchen
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 12.02.2005, 18:45   #13
HM479
 
pop ups von Strippoker und Spyware-Info - Standard

pop ups von Strippoker und Spyware-Info



Nach langem herunterladen hab ich es endlich geschafft, einen scan mit escan durchzuführen. :aplaus:

Was ich nicht so ganz verstehe: Ich habe mir vor zwei Wochen von Norton den Internet Security 2005 zugelegt und hatte auch vorher Norton AntiVir drauf und alles aktualisiert. Und trotzdem schleichen sich solche Mistviecher bei mir ein!!! Ist Norton nicht sicher genug?? Denn ich habe mittlerweile des öfteren gehört, das Norton in punkto sicherheit ziemlich nachgelassen haben soll?? Oder muß man sich jetzt schon mit mehreren Scannern einpacken was für mich unlogisch erscheint, denn wer alles legal mit Wartungsvertrag erwerben will, bezahlt sich dann doch dumm und dusselig.

Also, hier die gefundenen Files:


Sat Feb 12 19:13:34 2005 => File C:\WINDOWS\System32\qwsxp.dll infected by "Trojan-Clicker.Win32.Agent.br" Virus. Action Taken: No Action Taken.
Sat Feb 12 19:13:49 2005 => File C:\WINDOWS\System32\qwsxp.dll infected by "Trojan-Clicker.Win32.Agent.br" Virus. Action Taken: No Action Taken.
Sat Feb 12 19:14:19 2005 => File C:\WINDOWS\System32\bling.exe infected by "Backdoor.Win32.Rbot.da" Virus. Action Taken: No Action Taken.
Sat Feb 12 19:14:44 2005 => File C:\WINDOWS\System32\iesp2.dll infected by "Trojan.Win32.StartPage.sl" Virus. Action Taken: No Action Taken.
Sat Feb 12 19:15:18 2005 => File C:\WINDOWS\System32\od-stnd807.exe infected by "Trojan.Win32.DNSChanger.e" Virus. Action Taken: No Action Taken.
Sat Feb 12 19:22:55 2005 => File C:\eied_s7.cab infected by "Trojan-Downloader.Win32.Mediket.s" Virus. Action Taken: No Action Taken.
Sat Feb 12 19:22:55 2005 => File C:\info6_s.cab infected by "Trojan.Win32.Dialer.t" Virus. Action Taken: No Action Taken.
Sat Feb 12 19:27:15 2005 => File C:\Programme\Iomega\AutoDisk\Setup_deu.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Feb 12 19:27:16 2005 => File C:\Programme\Iomega\System32\Win2kDrivers.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Alt 13.02.2005, 08:06   #14
Lutz
 

pop ups von Strippoker und Spyware-Info - Standard

pop ups von Strippoker und Spyware-Info



Wenn, wie in Deinem Fall, eine RBot-Variante gefunden wird
Zitat:
Sat Feb 12 19:14:19 2005 => File C:\WINDOWS\System32\bling.exe infected by "Backdoor.Win32.Rbot.da" Virus. Action Taken: No Action Taken.
lautet unsere Empfehlung Format C: und anschließendes neu installieren. Am Besten ist es, Du hältst Dich an diese Anleitung.
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Antwort

Themen zu pop ups von Strippoker und Spyware-Info
adobe, bho, boot, computer, dateien, explorer, hijack, hijackthis, internet, internet explorer, messenger, microsoft, nvcpl.dll, pop up, pop ups, programme, rundll, rundll32.exe, software, symantec, system32, ups, virusscan, windows, windows xp, your computer might be at risk



Ähnliche Themen: pop ups von Strippoker und Spyware-Info


  1. Ads by Info entfernen
    Anleitungen, FAQs & Links - 09.10.2014 (2)
  2. filestore72.info was ist los?
    Plagegeister aller Art und deren Bekämpfung - 19.02.2014 (3)
  3. bizcoaching.info spyware
    Log-Analyse und Auswertung - 07.07.2013 (11)
  4. Warning! Spyware detected on your computer install an antivirus or spyware remover to
    Plagegeister aller Art und deren Bekämpfung - 11.09.2008 (30)
  5. Warning. Spyware detected on your computer. Install an Antivirus or spyware ...
    Plagegeister aller Art und deren Bekämpfung - 25.08.2008 (4)
  6. SRYS.INFO - Wtf??
    Mülltonne - 16.03.2008 (0)
  7. 180Solutions Spyware/, VX2 Spyware/Adware, VB and VBA Program Settings Spyware/Adware
    Log-Analyse und Auswertung - 12.07.2006 (10)
  8. Spyware, keine ahnung wo sie sein soll, pc hat keine anzeichen von spyware
    Plagegeister aller Art und deren Bekämpfung - 07.12.2005 (6)
  9. info
    Mülltonne - 06.03.2005 (1)
  10. Re: Thank you! - Info
    Plagegeister aller Art und deren Bekämpfung - 06.11.2004 (1)
  11. Info zur weitverbreiteter Spyware "about:blank"
    Antiviren-, Firewall- und andere Schutzprogramme - 22.07.2004 (1)
  12. info: systemrescuecd
    Alles rund um Mac OSX & Linux - 22.11.2003 (4)
  13. info: red hat / mdk
    Alles rund um Mac OSX & Linux - 26.08.2002 (1)
  14. info: KDE 3.03
    Alles rund um Mac OSX & Linux - 22.08.2002 (4)

Zum Thema pop ups von Strippoker und Spyware-Info - Hallo allerseits. Hoffe ihr könnt mir weiterhelfen: Es öffnen sich verschiedene Pop up's vorallem einer Strippoker-Seite und eine Meldung "your computer might be at risk"! Habe mit HJT bereits einiges - pop ups von Strippoker und Spyware-Info...
Archiv
Du betrachtest: pop ups von Strippoker und Spyware-Info auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.