Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Popupfenster "Test", Meldung "Static", will Update

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.08.2007, 15:39   #1
Nervbert
 
Popupfenster "Test", Meldung "Static", will Update - Frage

Popupfenster "Test", Meldung "Static", will Update



Hallo Forumssachsverstand!

Seit kurzem habe ich folgendes Problem – nach dem Start von Win Me poppt ein Fensterchen auf, von einer Anwendung „Test“, mit der Meldung „Static“ und der Möglichkeit „Ok“ oder „Update“.
Ich schieße das Teil immer mit dem Taskmanager ab („Test.exe“).
Ich habe nichts installiert, und irgendwas eingefangen auch nicht, soweit ich weiß. Die üblichen verdächtigen Seiten (Porno, Warez etc.) werden nicht besucht.
Screenshot:


System:
Win Me, AV-Antivir (immer aktuell gehalten), Zonealarm
DSL über T-Sinus 154 DSL Basic-Router (aktuelle Firmware), Firewall aktiviert, keine Ports extra geöffnet
Checks mit Spybot und Adaware sind negativ, Virencheck auch.

Mit der Forensuche und Google habe ich mit den entsprechenden Suchbegriffen nix Brauchbares gefunden.

Kennt jemand das Phänomen?

Danke für die Hilfe,
Nervbert

Alt 24.08.2007, 15:46   #2
undoreal
/// AVZ-Toolkit Guru
 
Popupfenster "Test", Meldung "Static", will Update - Standard

Popupfenster "Test", Meldung "Static", will Update



Halli hallo.

Merkwürdig das Ganze.

D.h. mache bitte folgendes:

-Erstelle ein HijackThis log:

http://download.hijackthis.eu/hijackthis_199.zip ( HINWEIS: Die entpackte .exe Datei vor der ersten Benutzung umbenennen in HiScan.com )



-Dann sammel bitte weitere Informationen über dein System:


-Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

-Deinstalliere Java über die Systemsteuerung.

-Lasse Blacklight sowie Silentrunners laufen und poste die logFiles..


-Folge dieser Anleitung.

-Run Combofix. Poste den erscheinenden Text

-Räume mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen).

-Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).

-Danach machst du einen eScan nach Anleitung in meiner Signatur und postest das log.


Gruß

Undoreal
__________________

__________________

Alt 27.08.2007, 15:04   #3
Nervbert
 
Popupfenster "Test", Meldung "Static", will Update - Standard

Popupfenster "Test", Meldung "Static", will Update



Hallo Undoreal,

werde ich dann mal machen, danke für die Hilfe schonmal!
Sobald ich dazu gekommen bin, poste ich's dann hier (wird aber erstmal nix ;-).

Schönen Gruß,
Nervbert
__________________

Alt 10.10.2007, 17:48   #4
Nervbert
 
Popupfenster "Test", Meldung "Static", will Update - Icon32

Popupfenster "Test", Meldung "Static", will Update



Moin Undoreal,

nach Wochen endlich Zeit für den Rechner gefunden.
Allerdings kann ich's nicht so machen wie Du postest:

In der Systemsteuerung steht kein Java. Na, dann eben nicht.
Blacklight läuft nicht an; zuerst fehlte eine USERENV.DLL, dann wollte er andere fehlende Sachen...
Silentrunner ging direkt.
SmitfraudFix läuft nicht an - Doppelklick auf die cmd gibt "Angegebenes Command-Verzeichnis falsch", auch nachdem ich die Command.com auf den Desktop gelegt hatte als Kopie.
Combofix läuft nicht; es kommt eine Meldung, daß es nur auf W2k und XP läuft....

Nun habe ich erstmal gestoppt, poste aber wenigstens mal die erhaltenen Logs.

Schönen Dank für die Mühe mit solchen PC-Simpeln wie mir!
Weiter weiß ich erstmal nicht.

Achja, ich habe vor dem Ganzen mit RegCleaner mal eine Bereinigung laufen lassen, aber außer einigen nicht mehr aktuellen Bildzuordnungen war da nix.

Es grüßt ein trauriger
Nervebrt


--------------------
Logfile of HijackThis v1.99.1
Scan saved at 18:14:28, on 10.10.2007
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\ACRONIS\SCHEDULE2\SCHEDUL2.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\ACRONIS\TRUEIMAGE\TRUEIMAGEMONITOR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\ACRONIS\SCHEDULE2\SCHEDHLP.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAMME\WINCMD\TOTALCMD.EXE
C:\PROGRAMME\ZONEALARM\ZONEALARM.EXE
C:\PROGRAMME\PROXOMITRON\PROXOMITRON.EXE
C:\PROGRAMME\WIRELESS\54M WIRELESS USB UTILITY\ZDWLAN.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\HIJACKTHIS\HISCAN.COM

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;192.168.2.1;192.168.2.30;192.168.2.31;192.168.2.32;192.168.2.33;192.168.2.34;192.168.2.35;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKLM\..\RunServices: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe"
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - Startup: Proxomitron.lnk = C:\Programme\Proxomitron\Proxomitron.exe
O4 - Startup: 54M Wireless USB Utility.lnk = C:\Programme\Wireless\54M Wireless USB Utility\ZDWlan.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\ZoneAlarm\zonealarm.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O15 - Trusted Zone: *.ebay.de
O15 - Trusted Zone: *.web.de
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...9x/AvSniff.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.2.1

---------------

"Silent Runners.vbs", revision 52, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows Me (Millennium Edition)
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Microsoft Works Update Detection" = "C:\Programme\Microsoft Works\WkDetect.exe" ["Microsoft® Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ScanRegistry" = "C:\WINDOWS\scanregw.exe /autorun" [MS]
"TaskMonitor" = "C:\WINDOWS\taskmon.exe" [MS]
"PCHealth" = "C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s" [MS]
"SystemTray" = "SysTray.Exe" [MS]
"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]
"AtiPTA" = "Atiptaxx.exe" ["ATI Technologies, Inc."]
"WorksFUD" = "C:\Programme\Microsoft Works\wkfud.exe" ["Microsoft® Corporation"]
"Microsoft Works Portfolio" = "C:\Programme\Microsoft Works\WksSb.exe /AllUsers" ["Microsoft® Corporation"]
"TrueImageMonitor.exe" = "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" ["Acronis"]
"Acronis Scheduler2 Service" = ""C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"" ["Acronis"]
"avgctrl" = ""C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min" ["Avira GmbH"]
"internat.exe" = "internat.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ {++}
"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]
"SchedulingAgent" = "mstask.exe" [MS]
"SSDPSRV" = "C:\WINDOWS\SYSTEM\ssdpsrv.exe" [MS]
"*StateMgr" = "C:\WINDOWS\System\Restore\StateMgr.exe" [MS]
"ATIPOLAB" = "(empty string)" [file not found]
"TrueVector" = "C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service" ["Zone Labs Inc."]
"MiniLog" = "C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service" ["Zone Labs Inc."]
"Acronis Scheduler2 Service" = ""C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe"" ["Acronis"]
"schedm" = ""C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"" ["Avira GmbH"]

HKLM\Software\Microsoft\Active Setup\Installed Components\
PerUser_CVT_Inis\(Default) = "Windows Setup - FAT32-Konvertierung"
\StubPath = "rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_CVT_Inis 64 C:\WINDOWS\INF\applets1.inf" [MS]
OlsAolPerUser\(Default) = "Windows Setup - AOL"
\StubPath = "rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection OlsAolPerUserRemove 64 C:\WINDOWS\INF\ols.inf" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{2E9D3540-211C-11d0-A5F2-00A0248C37BE}" = "Nero Shell Extension Property Sheet"
-> {HKLM...CLSID} = "Nero Shell Extension Property Sheet"
\InProcServer32\(Default) = "C:\Programme\Ahead\Nero\neroshx.dll" ["ahead software gmbh im stoeckmaedle 6 76307 karlsbad, germany Fax: ++49-7248-911-888 e-mail: info@ahead.de"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SHLEXT.DLL" ["Avira GmbH"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SHLEXT.DLL" ["Avira GmbH"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


WIN.INI & SYSTEM.INI launch points:
-----------------------------------

SYSTEM.INI
[boot]
"SCRNSAVE.EXE=C:\WINDOWS\SYSTEM\STARFI~1.SCR" (Starfield Simulation.scr) [MS]


Startup items in "Startup" & "All Users...Startup" folders:
-----------------------------------------------------------

C:\WINDOWS\Startmenü\Programme\Autostart
"Proxomitron" -> shortcut to: "C:\Programme\Proxomitron\Proxomitron.exe" ["Groom-A-Zebu (tm) "]
"54M Wireless USB Utility" -> shortcut to: "C:\Programme\Wireless\54M Wireless USB Utility\ZDWlan.exe -SETWZCD 35" ["Wireless"]

C:\WINDOWS\All Users\Startmenü\Programme\Autostart
"ZoneAlarm" -> shortcut to: "C:\Programme\ZoneAlarm\zonealarm.exe -nopopup" ["Zone Labs Inc."]


Enabled Scheduled Tasks:
------------------------

"PCHealth-Planer für die Zusammenstellung der Daten" -> launches: "C:\WINDOWS\PCHEALTH\SUPPORT\PCHSCHD.EXE -c" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "C:\WINDOWS\SYSTEM\rnr20.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
00000000000#\PackedCatalogItem (contains) DLL [Company Name], (at) # range:
C:\WINDOWS\SYSTEM\mswsosp.dll [MS], 1 - 4
C:\WINDOWS\SYSTEM\msafd.dll [MS], 5 - 7
C:\WINDOWS\SYSTEM\rsvpsp.dll [MS], 8 - 9


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "MSN Messenger Service"
"Exec" = "C:\PROGRA~1\MESSEN~1\MSMSGS.EXE" [MS]

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome
[Strings]: SAFESITE_VALUE="ie.search.msn.de"
[Strings]: MS_START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome"

Missing lines (compared with English-language version):
[Strings]: 3 lines

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "NavigationFailure" = "res://shdoclc.dll/navcancl.htm" [MS]
<<H>> "DesktopItemNavigationFailure" = "res://shdoclc.dll/navcancl.htm" [MS]
<<H>> "NavigationCanceled" = "res://shdoclc.dll/navcancl.htm" [MS]
<<H>> "OfflineInformation" = "res://shdoclc.dll/offcancl.htm" [MS]
<<H>> "PostNotCached" = "res://mshtml.dll/repost.htm" [MS]


---------- (launch time: 2007-10-10 18:26:25)
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 13 seconds.
---------- (total run time: 47 seconds)
---------------

Alt 10.10.2007, 19:35   #5
undoreal
/// AVZ-Toolkit Guru
 
Popupfenster "Test", Meldung "Static", will Update - Standard

Popupfenster "Test", Meldung "Static", will Update



Hallo Nervbert.

Du hast ein aktives RAT auf dem Rechner welches dein System mit Hintertüren (Backdoors) kompromitiert. Es handelt sich um den Spyware Trojaner / Opwin.
Zitat:
Troj/Opwin-11 ist ein Backdoor-Trojaner. Wenn der Trojaner-Server auf einem Computer läuft, ist der Computer frei für unbefugten Zugriff von Netzwerkstandorten
Ändere aus einem I-Net Caffee als aller Erstes alle online-Accounts sowie Passwörter die du auf dem Rechner gespeichert hast ! !

Setzte deinen Rechner danach umgehend neu auf !
Eine Anleitung dazu findest du in meiner Signatur. Daten wie Mp3s, Bilder, Dokumente kannst du sichern. Alles Andere, insb. ausführbare Dateien (dll. .exe .com) und Archive (.zip .rar) solltest
du nicht sichern. Bevor du Daten sicherst ändere alle Windows-Einstellungen so wie in der Anleitung meiner Signatur "Suchen und Finden von Dateien" beschrieben.


Gruß

Undoreal

__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 11.10.2007, 12:04   #6
Nervbert
 
Popupfenster "Test", Meldung "Static", will Update - Icon21

Popupfenster "Test", Meldung "Static", will Update



Uuuärks!

So ein Mist!
Der PC ist im kleinen Heimnetz drin - über WLAN (WPA) und Router mit aktivierter Firewall (Sinus 154 DSL Basic SE). Daran hängen 2 weitere, einmal Win 98 und XP SP2. Könnten die auch infiziert sein?

Welche Aussage in den Logs zeigt das RAT an?

Vielen Dank!
Nervbert

Alt 11.10.2007, 13:42   #7
Nervbert
 
Popupfenster "Test", Meldung "Static", will Update - Standard

Popupfenster "Test", Meldung "Static", will Update



Ach ja, sicherheitshalber - nur weil Du mir Progs für XP genannt hattest: Der PC hat Win _Millennium_ drauf!

Alt 11.10.2007, 14:25   #8
undoreal
/// AVZ-Toolkit Guru
 
Popupfenster "Test", Meldung "Static", will Update - Standard

Popupfenster "Test", Meldung "Static", will Update



Zitat:
Könnten die auch infiziert sein?
könnte sein, muss aber nicht. Allerdings ist der Optix ein ganz schöner Hammer und du solltest auf jeden Fall davon ausgehend, dass alle Datein im Heimnetzwerk ausspioniert und verändert worden sein könnten. Das ist bei dem Grad der Infizierung kein Problem. Dein Rechner kann praktisch ferngesteuert werden.

Der signifikanteste Eintrag ist wohl dieser:

Zitat:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \ {++}
"ScanRegistry" = "C:\WINDOWS\scanregw.exe /autorun" [MS]
Gruß

Undoreal
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 11.10.2007, 14:39   #9
Nervbert
 
Popupfenster "Test", Meldung "Static", will Update - Standard

Popupfenster "Test", Meldung "Static", will Update



*seufz*

Und wieso ist scanregw.exe so signifikant? Laut Tante Google und vielen Antworten ist die bei Win98 und Me notwendig und macht viele gewollte Dinge...

Wenn ich heute zu Hause bin, werde ich die mal ein paar Onlinescannern zumailen.

Wat'n Glück, daß ich PWs nie speichere!

Schönen Gruß,
Nevbert

Alt 11.10.2007, 20:39   #10
Nervbert
 
Popupfenster "Test", Meldung "Static", will Update - Standard

Popupfenster "Test", Meldung "Static", will Update



So, habe jetzt mal die scanregw.exe mit virustotal.com online gecheckt:

----
Datei SCANREGW.EXE empfangen 2007.10.11 20:45:34 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

[snip]

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.12.0 2007.10.11 -
AntiVir 7.6.0.20 2007.10.11 -
Authentium 4.93.8 2007.10.09 -
Avast 4.7.1051.0 2007.10.11 -
AVG 7.5.0.488 2007.10.11 -
BitDefender 7.2 2007.10.11 -
CAT-QuickHeal 9.00 2007.10.11 -
ClamAV 0.91.2 2007.10.11 -
DrWeb 4.44.0.09170 2007.10.11 -
eSafe 7.0.15.0 2007.10.10 -
eTrust-Vet 31.2.5203 2007.10.11 -
Ewido 4.0 2007.10.11 -
FileAdvisor 1 2007.10.11 -
Fortinet 3.11.0.0 2007.10.11 -
F-Prot 4.3.2.48 2007.10.10 -
F-Secure 6.70.13030.0 2007.10.11 -
Ikarus T3.1.1.12 2007.10.11 -
Kaspersky 7.0.0.125 2007.10.11 -
McAfee 5139 2007.10.11 -
Microsoft 1.2908 2007.10.11 -
NOD32v2 2586 2007.10.11 -
Norman 5.80.02 2007.10.11 -
Panda 9.0.0.4 2007.10.11 -
Prevx1 V2 2007.10.11 -
Rising 19.44.32.00 2007.10.11 -
Sophos 4.22.0 2007.10.11 -
Sunbelt 2.2.907.0 2007.10.11 -
Symantec 10 2007.10.11 -
TheHacker 6.2.8.085 2007.10.11 -
VBA32 3.12.2.4 2007.10.11 -
VirusBuster 4.3.26:9 2007.10.11 -
Webwasher-Gateway 6.0.1 2007.10.11 -
weitere Informationen
File size: 126976 bytes
MD5: 193e54ad8b1cfba1839c21b42bbc4cfb
SHA1: 1ae9c71f64ec3c3f6d94b165173381f3e57d0bcf
----

Kein Fund, das klingt doch gut!
http://www.hijackfree.de/de/processdetails/?id=1150 sagt, die Datei wäre bei Me "meistens legitim"

Aber ich lasse nochmal Scan Spyware drüberlaufen.

Gruß,
Nervbert

Alt 12.10.2007, 20:28   #11
Nervbert
 
Popupfenster "Test", Meldung "Static", will Update - Standard

Popupfenster "Test", Meldung "Static", will Update



Avira Antivir PE Classic (aktuelles Update) findet übrigens nichts - kann mich das beruhigen? Oder heißt das nichts?

Gruß,
Nervbert

Antwort

Themen zu Popupfenster "Test", Meldung "Static", will Update
adaware, aktuelle, anwendung, eingefangen, firewall, folge, google, installiert, meldung, nichts, phänomen, ports, problem, seite, seiten, spybot, start, static, suche, taskmanager, test, update, verdächtige, win, win me



Ähnliche Themen: Popupfenster "Test", Meldung "Static", will Update


  1. win 7 firefox langsam "keine Rückmeldung" immer wieder Meldung "ein skript auf dieser Seite ist eventuell beschädigt...."
    Plagegeister aller Art und deren Bekämpfung - 14.01.2015 (11)
  2. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  3. Internet Explorer öffnet Pup ups von "lpcloudbox" nach Installation von FreeYoutubeDownloader "update"
    Log-Analyse und Auswertung - 07.09.2014 (5)
  4. Beim Treiber Update "wiederspenstige" Software eingefangen. "SpeedUpMyComputer"
    Plagegeister aller Art und deren Bekämpfung - 27.05.2014 (3)
  5. "EXP/CVE-2011-3402' [exploit]" heute gefunden und (bereits länger) "Server ist ausgelastet" Meldung
    Log-Analyse und Auswertung - 17.12.2013 (3)
  6. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  7. "Deutsche Post(eMail-Anhang)" Alle "EXE(Programme)" werden blockiert "WIN 7 Defender"
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (3)
  8. "The document has moved. Redirecting"+"Popup unten rechts"+"Nicht alle Links anklickbar"
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (38)
  9. Bekomme Meldung "Troj/JSRedir-HZ" und "MW:JS:JJ677"
    Plagegeister aller Art und deren Bekämpfung - 15.10.2012 (42)
  10. Meldung "PUP.Dealio" und "Adware.WidgiToolbar" durch MBAM
    Log-Analyse und Auswertung - 01.09.2011 (31)
  11. "Stutter.X,"Windows XP recovery"-Aufforderung, "Festplatte beschädigt"-Meldung, Bildschrim schwarz,
    Log-Analyse und Auswertung - 28.05.2011 (20)
  12. Öffentliches Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Netzwerk und Hardware - 02.05.2011 (14)
  13. Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Alles rund um Windows - 16.04.2011 (0)
  14. "HotFixInstallerUI.dll" und "eula.rtf" nach Update / Jetzt externe Festplatte defekt
    Plagegeister aller Art und deren Bekämpfung - 01.12.2009 (2)
  15. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  16. Beheben des Problems "kein Internet"/"rsvp32_2.dll"/"Can't load library from memory"
    Plagegeister aller Art und deren Bekämpfung - 25.03.2007 (22)
  17. ">"">><meta http-equiv="Refresh" content="0;url=http://askimizsonsuza.com/code/">"">
    Plagegeister aller Art und deren Bekämpfung - 04.09.2006 (4)

Zum Thema Popupfenster "Test", Meldung "Static", will Update - Hallo Forumssachsverstand! Seit kurzem habe ich folgendes Problem – nach dem Start von Win Me poppt ein Fensterchen auf, von einer Anwendung „Test“, mit der Meldung „Static“ und der Möglichkeit - Popupfenster "Test", Meldung "Static", will Update...
Archiv
Du betrachtest: Popupfenster "Test", Meldung "Static", will Update auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.