Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner Popup in Taskleiste

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 11.11.2006, 12:57   #1
Melastor
 
Trojaner Popup in Taskleiste - Standard

Trojaner Popup in Taskleiste



Hi,
Ich hab mir die posts durchgelesen von den andern Usern, die das selbe Problem haben und auch erkannt, dass ich hier auch ohne Hilfe nicht weiter komme. Bei mir ist eben genau dieses blinkende Fragezeichen in der taskleiste und das gelbe Dreieck das den link zur VirusBuster page öffnet.HiJackThis hab ich auch mal durchlaufen lassen und das is der Log:

Logfile of HijackThis v1.99.1
Scan saved at 13:06:32, on 11.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirenKit\AVKService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QualityCodec\isamonitor.exe
C:\Programme\QualityCodec\pmsngr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE
C:\Programme\Multimedia Card Reader\shwicon2k.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\QualityCodec\pmmon.exe
C:\Programme\QualityCodec\isamini.exe
C:\Programme\Save\Save.exe
C:\Programme\LiveUpdate\LiveUpdate.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\Programme\Java\jre1.5.0_08\bin\jucheck.exe
C:\Programme\AntiVirenKit\AVKWCtl.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe
C:\Dokumente und Einstellungen\Hans Mustermann\Desktop\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://red.ads.t-online.de/red?cmd=url&flg=0&&rdm=29162689&dlv=1,18481,436242,24971,41305&kid=24971&ucl=111111A&dmn=.dip.t-dialin.net&scx=1024&scy=768&scc=16&sta=,,,1,,,,,,,0,2,0,9606,6459,5161,11,0&iid=436242&bid=41305&dat=h**p%3A//altfarm.mediaplex.com/ad/ck/5670-29212-2111-3%3Fmpt%3D29162689
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {4734044c-7427-43d8-adbe-df942e52bef2} - C:\Programme\QualityCodec\isaddon.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Programme\Steam.exe -silent
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKCU\..\Run: [BTCLiveUpdate] "C:\Programme\LiveUpdate\LiveUpdate.exe" /autostart
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O4 - Global Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O21 - SSODL: bonspells - {11853d5f-f894-4cc7-bbc3-fc7a9dcfd896} - C:\WINDOWS\system32\okkmtv.dll
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit\AVKWCtl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

falls noch etwas anderes benötigt wird um mir zu helfen bitte einfach posten.
Wäre dankbar über Hilfe.

PS: Das Programm, mit dem ich mir diesen Trojaner eingefangen habe kann ich nicht löschen. Da immer eine Meldung kommt das er von einer anderen Programm benutzt wird. Kenn mich da nicht so richtig aus.

Alt 11.11.2006, 13:04   #2
Sunny
Administrator
> Competence Manager
 

Trojaner Popup in Taskleiste - Standard

Trojaner Popup in Taskleiste



Hallo.

1.) Deinstalliere folgende Programme: (sofern vorhanden)
Start->Systemsteuerung->Software

Zitat:
SAVE
QualityCodec
2.) lösche die Verzeichnisse mit Hilfe der Killbox
(Option "delete on reboot", nacheinander beide Verzeichnisse suchen und erst beim letzten Verzeichnis die Frage des Neustarts mit "Yes" beantworten!)

Zitat:
C:\Programme\QualityCodec
C:\Programme\Save
C:\WINDOWS\system32\okkmtv.dll
3.) Lade dir folgendes Tool -> SmitfraudFix
Starte es gleich mit der Optio "2", lass es arbeiten, poste danach den Inhalt der Report.txt.

4.) Poste ein neues Hijacklog, und halte dich zukünftig von diversen "Codec-Packs" entfernt

Gruß
Sunny
__________________

__________________

Alt 11.11.2006, 13:22   #3
Melastor
 
Trojaner Popup in Taskleiste - Standard

Trojaner Popup in Taskleiste



So
Ich bin mir jetz nich sicher obs das Richtige war aber war eine Report.txt danach :

SmitFraudFix v2.120

Scan done at 14:18:20,60, 11.11.2006
Run from C:\Dokumente und Einstellungen\Max Mustermann\Desktop\Downloads\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}"="bonspells"

[HKEY_CLASSES_ROOT\CLSID\{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}\InProcServer32]
@="C:\WINDOWS\system32\okkmtv.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}\InProcServer32]
@="C:\WINDOWS\system32\okkmtv.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url Deleted
C:\Programme\QualityCodec\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning not selected.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}"="bonspells"

[HKEY_CLASSES_ROOT\CLSID\{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}\InProcServer32]
@="C:\WINDOWS\system32\okkmtv.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}\InProcServer32]
@="C:\WINDOWS\system32\okkmtv.dll"



»»»»»»»»»»»»»»»»»»»»»»»» End

Ich hab bei der Cleaning Frage nein gemacht da ich mir nicht sicher war. War das Richtig oder hätte ich ja drücken sollen?



Logfile of HijackThis v1.99.1
Scan saved at 14:28:42, on 11.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirenKit\AVKService.exe
C:\Programme\AntiVirenKit\AVKWCtl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE
C:\Programme\Multimedia Card Reader\shwicon2k.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Save\Save.exe
C:\Programme\LiveUpdate\LiveUpdate.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Java\jre1.5.0_08\bin\jucheck.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\NOTEPAD.EXE
C:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe
C:\Dokumente und Einstellungen\MAX\Desktop\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://red.ads.t-online.de/red?cmd=url&flg=0&&rdm=29162689&dlv=1,18481,436242,24971,41305&kid=24971&ucl=111111A&dmn=.dip.t-dialin.net&scx=1024&scy=768&scc=16&sta=,,,1,,,,,,,0,2,0,9606,6459,5161,11,0&iid=436242&bid=41305&dat=http%3A//altfarm.mediaplex.com/ad/ck/5670-29212-2111-3%3Fmpt%3D29162689
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {4734044c-7427-43d8-adbe-df942e52bef2} - C:\Programme\QualityCodec\isaddon.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Programme\Steam.exe -silent
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKCU\..\Run: [BTCLiveUpdate] "C:\Programme\LiveUpdate\LiveUpdate.exe" /autostart
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O4 - Global Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://h**ps: //fpdownload.macromedi...sh/swflash.cab
O21 - SSODL: bonspells - {11853d5f-f894-4cc7-bbc3-fc7a9dcfd896} - C:\WINDOWS\system32\okkmtv.dll (file missing)
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit\AVKWCtl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


Das is dann der HijackThis report.
PS: Die Popups sind nun auch weg!
Dickes Danke Sunny
__________________

Geändert von Melastor (11.11.2006 um 13:33 Uhr)

Antwort

Themen zu Trojaner Popup in Taskleiste
bho, browser, cyberlink, desktop, dll, einstellungen, explorer, icqtoolbar, internet, internet explorer, kis, log, netgear, nvidia, object, popup, problem, programme, rundll, shockwave, software, system, t-online, taskleiste, trojaner, trojaner eingefangen, urlsearchhook, windows, windows xp, wlan



Ähnliche Themen: Trojaner Popup in Taskleiste


  1. PopUp Trojaner
    Plagegeister aller Art und deren Bekämpfung - 03.05.2014 (8)
  2. Gema Trojaner Win XP - Desktop leer, Taskleiste weg
    Plagegeister aller Art und deren Bekämpfung - 20.01.2012 (49)
  3. Taskleiste weg/Desktopicons weg/Trojaner/Infektion
    Plagegeister aller Art und deren Bekämpfung - 16.09.2011 (9)
  4. Mehrere Trojaner auf PC! Taskleiste schwarz!Bitte um Hilfe.
    Mülltonne - 07.02.2009 (3)
  5. Popup-Werbung trotz Popup-Blocker
    Plagegeister aller Art und deren Bekämpfung - 04.01.2009 (4)
  6. Popup-Werbung trotz Popup-Blocker
    Mülltonne - 03.01.2009 (0)
  7. Mysteriöse Taskleiste,Trojaner?
    Log-Analyse und Auswertung - 10.11.2008 (0)
  8. Trojaner Vundo.Gen.Taskleiste weg, Desktop weg. Brauche Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 17.04.2008 (3)
  9. trojaner (popup öffner)
    Log-Analyse und Auswertung - 12.03.2008 (5)
  10. Keine Taskleiste mehr und Bitdefender meldet Trojaner
    Plagegeister aller Art und deren Bekämpfung - 04.10.2007 (8)
  11. Trojaner/irgendwas inner taskleiste
    Log-Analyse und Auswertung - 30.08.2007 (29)
  12. PopUp´s / Trojaner
    Log-Analyse und Auswertung - 11.08.2007 (9)
  13. PopUp / Trojaner
    Mülltonne - 11.08.2007 (0)
  14. Taskleiste will nicht, glaube Trojaner
    Plagegeister aller Art und deren Bekämpfung - 07.08.2007 (10)
  15. Trojaner - nerviges Symbol in der Taskleiste
    Log-Analyse und Auswertung - 20.04.2006 (3)
  16. Popup Trojaner
    Log-Analyse und Auswertung - 10.11.2005 (4)
  17. Werbepopups o. leere IE-Browserf. i. d. Taskleiste trotz Popup-Blocker u. FW??
    Log-Analyse und Auswertung - 21.08.2004 (2)

Zum Thema Trojaner Popup in Taskleiste - Hi, Ich hab mir die posts durchgelesen von den andern Usern, die das selbe Problem haben und auch erkannt, dass ich hier auch ohne Hilfe nicht weiter komme. Bei mir - Trojaner Popup in Taskleiste...
Archiv
Du betrachtest: Trojaner Popup in Taskleiste auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.