Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Seit IE7 laufend Werbefenster

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 01.05.2008, 18:17   #1
Raudi7
 
Seit IE7 laufend Werbefenster - Standard

Seit IE7 laufend Werbefenster




Hi Spezies!
Seit der Installation des IE7 öffnen sich ständig Werbefenster verschiedenster Art.
Alles googlen und dort gefundene Anweisungen haben nicht geholfen!
Nun hofe ich auf eure Hilfe...
Hier das log-File von HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:39:34, on 01.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\AutoSizer\AutoSizer.exe
C:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\riyzbg.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Logitech\SetPoint\kem.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: MSN Suche Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll
O3 - Toolbar: MSN Suche Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [MediaFace Integration] C:\Programme\Fellowes\MediaFACE 4.0\SetHook.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AutoSizer] "C:\Programme\AutoSizer\AutoSizer.exe"
O4 - HKCU\..\Run: [C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe] "1&1 EasyLogin" HIDE
O4 - HKCU\..\Run: [islwdr] c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\islwdr.exe islwdr
O4 - HKCU\..\Run: [epiuikfjo] c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\epiuikfjo.exe epiuikfjo
O4 - HKCU\..\Run: [rbqmdaivw] c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\rbqmdaivw.exe rbqmdaivw
O4 - HKCU\..\Run: [riyzbg] c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\riyzbg.exe riyzbg
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\MSN Toolbar Suite\DS\02.05.0000.1082\de-de\bin\WindowsSearch.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9196 bytes

Alt 01.05.2008, 18:34   #2
BataAlexander
> MalwareDB
 
Seit IE7 laufend Werbefenster - Standard

Seit IE7 laufend Werbefenster




Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)
Zitat:

c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\islwdr.exe islwdr
c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\epiuikfjo.exe epiuikfjo
c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\rbqmdaivw.exe rbqmdaivw
c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\riyzbg.exe riyzbg
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
Wenn die Meldung kommt, dass diese Datei schon geprüft wurde, lasse die betreffende Datei dennoch noch einmal prüfen.
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den SHA1 /MD5 und dem Kopf kopieren!)

Gehe wiefolgt vor

Bitte öffne Deine HijackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

O4 - HKCU\..\Run: [islwdr] c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\islwdr.exe islwdr
O4 - HKCU\..\Run: [epiuikfjo] c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\epiuikfjo.exe epiuikfjo
O4 - HKCU\..\Run: [rbqmdaivw] c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\rbqmdaivw.exe rbqmdaivw
O4 - HKCU\..\Run: [riyzbg] c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\riyzbg.exe riyzbg

dann Klicke Fix Checked. Schließe HiJackThis. Reboot im abgesicherten Modus.


Benutze den Windows Explorer (um dahin zu kommen, mache einen Rechtsklick auf dem Start Button und klicke auf "Explorer"), bitte lösche diese Dateien (wenn vorhanden):

c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\islwdr.exe islwdr
c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\epiuikfjo.exe epiuikfjo
c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\rbqmdaivw.exe rbqmdaivw
c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\riyzbg.exe riyzbg

Dann starte den Rechner im normalen Modus neu.
Poste die Ergebniss und ein neues HJT Log.
__________________


Alt 02.05.2008, 12:59   #3
Raudi7
 
Seit IE7 laufend Werbefenster - Standard

Seit IE7 laufend Werbefenster



Hallo!

Vielen Dank, für die schnelle Antwort!
Entschuldigung - hatte gestern keine Zeit mehr, aber jetzt geht es weiter...

Die Dateien
  • c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\islwdr.exe islwdr
  • c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\epiuikfjo.exe epiuikfjo
  • c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\rbqmdaivw.exe rbqmdaivw
sind - trotz Anzeige auch versteckter Dateien - nicht vorhanden!

Das Ergebnis von "Virtustotal" für riyzbg.exe:

HTML-Code:
<table>
<tr>
<td>Antivirus</td><td>Version</td><td>letzte aktualisierung</td><td>Ergebnis</td>
</tr>
<tr>
<td>AhnLabV3</td><td>2008.5.2.1</td><td>2008.05.02</td><td>-</td>
</tr>
<tr>
<td>AntiVir</td><td>7.8.0.11</td><td>2008.05.02</td><td>-</td>
</tr><tr><td>Authentium</td><td>4.93.8</td><td>2008.05.02</td><td>-</td>
</tr>
<tr>
<td>Avast</td><td>4.8.1169.0</td><td>2008.05.02</td><td>-</td>
</tr>
<tr>
<td>AVG</td><td>7.5.0.516</td><td>2008.05.01</td><td>-</td>
</tr>
<tr>
<td>BitDefender</td><td>7.2</td><td>2008.05.02</td><td>-</td>
</tr>
<tr>
<td>CAT-QuickHeal</td><td>9.50</td><td>2008.05.01</td><td>(Suspicious) - DNAScanClam</td>
</tr>
<tr>
<td>AV</td><td>0.92.1</td><td>2008.05.02</td><td>-</td>
</tr>
<tr>
<td>DrWeb</td><td>4.44.0.09170</td><td>2008.04.30</td><td>-</td>
</tr>
<tr>
<td>eSafe</td><td>7.0.15.0</td><td>2008.04.28</td><td>-</td>
</tr>
<tr>
<td>eTrust-Vet</td><td>31.3.5752</td><td>2008.05.02</td><td>-</td>
</tr>
<tr>
<td>Ewido</td><td>4.0</td><td>2008.05.01</td><td>-</td>
</tr>
<tr>
<td>F-Prot</td><td>4.4.2.54</td><td>2008.05.01</td><td>-</td>
</tr>
<tr>
<td>F-Secure</td><td>6.70.13260.0</td><td>2008.05.02</td><td>-</td>
</tr>
<tr>
<td>Fortinet</td><td>3.14.0.0</td><td>2008.05.02</td><td>-</td>
</tr>
<tr>
<td>Ikarus</td><td>T3.1.1.26</td><td>2008.05.02</td><td>Trojan.Win32.Wintrim.A</td>
</tr>
<tr>
<td>Kaspersky</td><td>7.0.0.125</td><td>2008.05.02</td><td>-</td>
</tr>
<tr>
<td>McAfee</td><td>5285</td><td>2008.04.30</td><td>-</td>
</tr>
<tr>
<td>Microsoft</td><td>1.3408</td><td>2008.04.22</td><td>-</td>
</tr>
<tr>
<td>NOD32v2</td><td>3070</td><td>2008.05.02</td><td>-</td>
</tr>
<tr>
<td>Norman</td><td>5.80.02</td><td>2008.04.30</td><td>-</td>
</tr>
<tr>
<td>Panda</td><td>9.0.0.4</td><td>2008.05.01</td><td>-</td>
</tr>
<tr>
<td>Prevx1</td><td>V2</td><td>2008.05.02</td><td>Trojan.Vundo</td>
</tr>
<tr>
<td>Rising</td><td>20.42.22.00</td><td>2008.04.30</td><td>-</td>
</tr>
<tr>
<td>Sophos</td><td>4.29.0</td><td>2008.05.02</td><td>-</td>
</tr>
<tr>
<td>Sunbelt</td><td>3.0.1097.0</td><td>2008.05.01</td><td>-</td>
</tr>
<tr>
<td>Symantec</td><td>10</td><td>2008.05.02</td><td>-</td>
</tr>
<tr>
<td>TheHacker</td><td>6.2.92.298</td><td>2008.04.30</td><td>-</td>
</tr>
<tr>
<td>VBA32</td><td>3.12.6.5</td><td>2008.05.01</td><td>-</td>
</tr>
<tr>
<td>VirusBuster</td><td>4.3.26:9</td><td>2008.05.01</td><td>-</td>
</tr>
<tr>
<td>Webwasher-Gateway</td><td>6.6.2</td><td>2008.05.02</td><td>-</td>
</tr>
</table>
( jetzt wollte ich hier eine schöne Tabelle einfügen - bekomme es aber nicht hin. Hoffe, es reicht so... )

weitere Informationen
File size: 315392 bytes
MD5...: 64a045c489bf374b348033883f245e6c
SHA1..: 32b89300688e9be4dd3fcc003be67a4f6ae64f0d
SHA256: e11c328547ceb6c8b6962dc16ab7ad0db40a103b3e6f5d9edee905bd1030de54
SHA512: ef19e2079fadc9594ee621fbf1832c5610a2fd1eb525304ba7df6a923e6cd828
c47746ff49280f94ae7382fae7770e646c931577cf8559cc33fba5523b441770
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x448d08
timedatestamp.....: 0x3ec47cae (Fri May 16 05:52:46 2003)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x47e9c 0x48000 8.00 19236f98bc6c5aa4be8b23c487ccb49a
.rdata 0x49000 0xef6 0x1000 5.31 28e160119c9bb2e2575cd196bc8edfeb
.data 0x4a000 0x2adc 0x3000 7.57 fbac8faf67c2f76298de50cc51401966

( 10 imports )
> KERNEL32.dll: QueueUserAPC, GetBinaryTypeA, SetupComm, SetTapePosition, GlobalSize, GetPrivateProfileSectionW, FreeConsole, CreateThread, PeekConsoleInputA, BeginUpdateResourceA, SystemTimeToFileTime, SetEnvironmentVariableA, OpenSemaphoreW, SetConsoleCursorPosition, MapViewOfFileEx, GetModuleHandleA, FlushInstructionCache, CopyFileA, GetComputerNameA, ReadConsoleInputA, GenerateConsoleCtrlEvent, FormatMessageA, SetHandleInformation, GetLocaleInfoA, GlobalHandle, GetPrivateProfileStructA, VirtualProtect, GlobalDeleteAtom, ExitProcess, VirtualFree, GlobalFindAtomW, FindAtomA, GlobalAddAtomA, TlsSetValue, SetMailslotInfo, Beep, GlobalUnlock, AllocConsole, EnumResourceLanguagesW, GetDateFormatA, CreateDirectoryExA, CreateWaitableTimerA, GetAtomNameW, SetLocalTime, FlushViewOfFile, SetEnvironmentVariableW, OpenProcess, GetSystemTimeAsFileTime, _lopen, HeapFree, lstrcmpA, ExpandEnvironmentStringsW, FreeLibraryAndExitThread, LockFile, PeekNamedPipe, GetVersionExA, IsBadStringPtrA, GetStartupInfoA
> USER32.dll: GetDlgItemTextA, CharNextExA
> GDI32.dll: GetDeviceCaps, SetBrushOrgEx, LineDDA
> comdlg32.dll: ChooseFontA
> ADVAPI32.dll: CryptDestroyKey, RegQueryValueExW, BuildSecurityDescriptorW, GetExplicitEntriesFromAclW, QueryServiceStatus, RegGetKeySecurity, RegOpenKeyExW, CloseServiceHandle, RegOpenKeyExA, EnumServicesStatusA, ImpersonateSelf, RegQueryInfoKeyA, MakeAbsoluteSD, InitializeSecurityDescriptor, GetAce, GetUserNameW, CryptAcquireContextA, RegSetKeySecurity, RegUnLoadKeyA, AccessCheckAndAuditAlarmA, CryptImportKey, GetSecurityDescriptorGroup, CreateProcessAsUserW, CryptHashData, OpenProcessToken, GetSecurityDescriptorDacl, RegSaveKeyA, LogonUserA, AccessCheckAndAuditAlarmW, LookupAccountNameW, RegQueryValueW, RegFlushKey, LookupPrivilegeValueA, SetPrivateObjectSecurity
> ole32.dll: StgOpenStorage, StgOpenStorageOnILockBytes
> COMCTL32.dll: _TrackMouseEvent
> SHLWAPI.dll: SHSetValueA, ChrCmpIW, PathRemoveBlanksA, PathFindOnPathW
> SETUPAPI.dll: SetupDiGetDeviceInstallParamsA, SetupGetInfFileListA, SetupGetLineCountW, SetupDiEnumDriverInfoW, SetupDiClassNameFromGuidExA, SetupDiSetClassInstallParamsA, SetupCloseLog
> MSVCRT.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit

( 0 exports )
Prevx info: h**p://info.prevx.com/aboutprogramtext.asp?PX5=04B6801200C53290D08404C66254C900D4B41506

Fortsetzung folgt...
__________________

Alt 02.05.2008, 13:04   #4
BataAlexander
> MalwareDB
 
Seit IE7 laufend Werbefenster - Standard

Seit IE7 laufend Werbefenster



Ok, lass es uns anders machen.

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen!)
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 02.05.2008, 13:07   #5
markusg
/// Malware-holic
 
Seit IE7 laufend Werbefenster - Standard

Seit IE7 laufend Werbefenster



combofix:
http://virus-protect.org/artikel/tools/combofix.html
genau an anleitung halten, log posten danach ein neues hijackthis-log erstellen ebenfalls posten.


Alt 02.05.2008, 14:09   #6
Raudi7
 
Seit IE7 laufend Werbefenster - Standard

Seit IE7 laufend Werbefenster



OK, habe "ComboFix" laufen lassen und anschließend wieder "HiJackThis".
Hier die beiden Log-Files

ComboFix:

ComboFix 08-05-01.1 - XXXX 2008-05-02 14:18:24.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\All Users\Desktop\sudoplanet.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\SudoPlanet
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\SudoPlanet\Datenschutzrichtlinien.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\SudoPlanet\Deinstallieren.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\SudoPlanet\Geschäftsbedingungen.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\SudoPlanet\SudoPlanet.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\SudoPlanet\Website.url
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\riyzbg.dat
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\riyzbg.exe
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\riyzbg_nav.dat
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\riyzbg_navps.dat
C:\Programme\SideFind
C:\Programme\sudoplanet
C:\Programme\sudoplanet\SudoPlanet.dll
C:\Programme\sudoplanet\SudoPlanet.exe
C:\Programme\sudoplanet\uninst.exe
C:\WINDOWS\system32\nvs2.inf
.
((((((((((((((((((((((( Dateien erstellt von 2008-04-02 bis 2008-05-02 ))))))))))))))))))))))))))))))
.
2008-04-19 19:15 . 2008-04-19 19:15 <DIR> d-------- C:\Programme\Acronis
2008-04-19 18:21 . 2008-04-19 18:30 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\UseNeXT
2008-04-19 18:19 . 2008-04-19 18:19 <DIR> d-------- C:\Programme\UseNeXT
2008-04-19 17:15 . 2008-04-19 17:15 <DIR> d-------- C:\backup
2008-04-13 18:10 . 2008-04-13 18:10 31 --------- C:\WINDOWS\VBackRun.INI
2008-04-11 22:28 . 2008-04-11 22:28 <DIR> d-------- C:\Programme\Lavalys
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-02 12:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-05-02 12:26 13,866,528 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-02 12:24 512,288 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-05-02 12:22 53,204 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-05-02 12:22 195,068 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-01 16:39 --------- d-----w C:\Programme\Common Files
2008-04-19 17:16 441,760 ----a-w C:\WINDOWS\system32\drivers\timntr.sys
2008-04-19 17:16 44,384 ----a-w C:\WINDOWS\system32\drivers\tifsfilt.sys
2008-04-19 17:16 368,480 ----a-w C:\WINDOWS\system32\drivers\tdrpman.sys
2008-04-19 17:16 129,248 ----a-w C:\WINDOWS\system32\drivers\snapman.sys
2008-04-19 17:15 --------- d-----w C:\Programme\Gemeinsame Dateien\Acronis
2008-04-17 19:29 96,645 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-04-17 19:29 87,941 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-03-29 19:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-03-14 17:51 --------- d-----w C:\Programme\Java
2008-03-14 17:48 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\S.A.D
2008-03-14 17:44 --------- d-----w C:\Programme\S.A.D
2005-12-20 19:37 41,288 ------w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2001-11-23 11:08 712,704 ------w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"AutoSizer"="C:\Programme\AutoSizer\AutoSizer.exe" [2006-08-13 14:12 118784]
"C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe"="1&1 EasyLogin HIDE" []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="cmicnfg.cpl" []
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22 155648]
"PaperPort PTD"="C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" [2004-03-09 15:54 57393]
"IndexSearch"="C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" [2004-03-09 16:15 40960]
"SetDefPrt"="C:\Programme\Brother\Brmfl04a\BrStDvPt.exe" [2004-05-25 09:16 49152]
"ControlCenter2.0"="C:\Programme\Brother\ControlCenter2\brctrcen.exe" [2004-07-20 09:34 851968]
"MediaFace Integration"="C:\Programme\Fellowes\MediaFACE 4.0\SetHook.exe" [2003-08-18 17:46 53248]
"FinePrint Dispatcher v5"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" [2003-11-05 15:52 380928]
"PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe" [2004-02-19 10:09 61440]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-03-22 15:23 30208 C:\WINDOWS\KHALMNPR.Exe]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 17:17 159744]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 06:24 286720]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2008-02-08 19:36 227856]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2008-02-27 13:52 2622112]
"AcronisTimounterMonitor"="C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2008-02-27 13:57 911184]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2008-02-27 11:42 140568]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.thx32"= thx32.acm
"wave.dvaudio"= dvaudio.drv
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ImapiService"=3 (0x3)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\WS_FTP Pro\\ftp95pro.exe"=
"C:\\Programme\\Maguma\\tools\\DbgListener.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Nero Web\\SetupX.exe"=
"C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 7.0.1.321\\German\\setup.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\S.A.D\\RadioJack 2008\\RadioJack2008.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 7.0.1.325\\German\\setup.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

.
**************************************************************************
catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-05-02 14:24:49
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C:\\Programme\\1&1\\1&1 EasyLogin\\EasyLogin.exe"="\"1&1 EasyLogin\" HIDE"
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\explorer.exe
-> C:\Programme\Logitech\SetPoint\lgscroll.dll
-> C:\Programme\AutoSizer\AutoSizer.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\MDM.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\COMMON~1\X10\Common\X10nets.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\acrotray.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.exe
C:\Programme\Brother\Brmfcmon\BrMfcMon.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-02 14:33:00 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-02 12:32:53
13 Verzeichnis(se), 47,459,115,008 Bytes frei
15 Verzeichnis(se), 51,936,612,352 Bytes frei
154 --- E O F --- 2008-04-20 11:56:16

HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:41:45, on 02.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\AutoSizer\AutoSizer.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Logitech\SetPoint\kem.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\explorer.exe
C:\Programme\HiJackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: MSN Suche Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll
O3 - Toolbar: MSN Suche Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [MediaFace Integration] C:\Programme\Fellowes\MediaFACE 4.0\SetHook.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AutoSizer] "C:\Programme\AutoSizer\AutoSizer.exe"
O4 - HKCU\..\Run: [C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe] "1&1 EasyLogin" HIDE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\MSN Toolbar Suite\DS\02.05.0000.1082\de-de\bin\WindowsSearch.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: h**p://ny.contentmatch.net (HKLM)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
--
End of file - 8419 bytes


Scheint alle wieder OK zu sein. Offensichtlich war es das Sudoku-Programm...
Danke, für die schnelle, fachmännische Hilfe!!

Alt 02.05.2008, 14:36   #7
markusg
/// Malware-holic
 
Seit IE7 laufend Werbefenster - Standard

Seit IE7 laufend Werbefenster



hi, nur weil die symtome nciht mehr da sind, heißt es nciht, dass ein virus schon beseitigt ist: also weiter hiermit:

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
  • Doppel-klicke
    navilog1.exe, um es auf dem PC zu installieren.
    (Wenn Du die Zip Datei heruntergeladen hast, dann doppel-klicke diese und mache einen erneuten Doppel-klick auf die im Archiv befindende
    Navilog1.exe)
  • Wenn die Installation abgeschlossen ist, wird das Programm automatisch starten.
  • Sollte es nicht automatisch starten, so mache
    einen Doppel-klick auf Navilog1 shortcut auf deinem desktop um es auszufuehren.
  • Druecke E fuer Englisch im Sprachenmenue-
  • Druecke
    1 in dem naechsten Menue umd "Suche" auszuwaehlen. Bestaetige mit Enter.
  • Warte bis der Scan fertig ist (Es koennte etwas laenger
    dauern)
  • Druecke eine beliebige Taste, wie aufgefordert.
  • Ein neues Dokument wird erstellt und oeffnet sich: fixnavi.txt.
  • Bitte kopiere/fuege
    den Inhalt dieser Datei in deine naechste Antwort ein.
Der Bericht wird außerdem Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:

Navilog1.exe und andere Dateien, werden aehnlich wie process.exe, von einigen Antiviren Herstellern / Firewall Herstellern als sogenannte
Risktools erkannt. Es ist kein Virus, sondern ein Programm zur Reinigung dieser Infizierung.[noparse]
[list][*]Doppel-klicke auf den [b]Navilog1 Shortcut[/b] auf deinem Desktop um es auszufuehren.[*]Klicke [b]E[/b] fuer Englisch im Sprachenmenue[*]Tippe
[b]2[/b] in dem naechsten Menue und druecke [b]Enter[/b].[*]Das Programm wird dich dann darauf hinweisen, das der PC neugestartet wird.[*]Schliesse [u]alle[/u]
offenen Fenster und speichere alle offenene privaten Dokumente, [u]falls diese geoeffnet sind[/u].[*]Falls dein PC nicht neustartet, mache einen manuellen
Neustart.[*]Waehle dein normales Benutzerprofil.[*]Warte auf die *** [b]Cleaning stage complete![/b] *** Nachricht [color="Green"](es koennte etwas laenger
dauern)[/color][*]Ein neues Dokument wird erstellt.[*]Bitte kopiere/fuege den Inhalt dieses Dokuments in deine naechste Antwort ein.[*]Dein Desktop wird
nun wieder erscheinen.[/list][color="Blue"]NB : Im Falle eines Desktop Verlustes, betaetige Strg+Alt+Entf und lasse Explorer.exe als einen neuen Task laufen.[/color]

Der Bericht wird außerdem im Hauptverzeichnis gespeichert.[noparse]

Alt 02.05.2008, 15:32   #8
Raudi7
 
Seit IE7 laufend Werbefenster - Standard

Seit IE7 laufend Werbefenster



OK, hier nun die Log-Datei von "Navilog1":

Search Navipromo version 3.5.5 began on 02.05.2008 at 16:06:33,43
!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "XXXX"
Updated on 29.04.2008 at 20h00 by IL-MAFIOSO

Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.13
Filesystem type : NTFS
Done in normal mode

*** Search folders in "C:\WINDOWS" ***

*** Search folders in "C:\Programme" ***

*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***

*** Search folders in "c:\dokume~1\alluse~1\startm~1\progra~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\xxx\anwend~1" ***

*** Search folders in "C:\DOKUME~1\ADMINI~1\anwend~1" ***

*** Search folders in "C:\DOKUME~1\xxx\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\xxx\lokale~1\anwend~1" ***

*** Search folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" ***

*** Search folders in "C:\DOKUME~1\xxx\lokale~1\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\xxx\startm~1\progra~1" ***

*** Search folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" ***

*** Search folders in "C:\DOKUME~1\xxx\startm~1\progra~1" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : h**p://www.gmer.net
No file found

*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!
* Scan in "C:\WINDOWS\system32" *
* Scan in "C:\Dokumente und Einstellungen\xxx\lokale~1\anwend~1" *
* Scan in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *
* Scan in "C:\DOKUME~1\xxx\lokale~1\anwend~1" *

*** Search files ***

*** Search specific Registry keys ***

*** Complementary Search ***
(Search specific files)
1)Search new Instant Access files :

2)Heuristic Search :
* In "C:\WINDOWS\system32" :

* In "C:\Dokumente und Einstellungen\xxx\lokale~1\anwend~1" :

* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" :

* In "C:\DOKUME~1\xxx\lokale~1\anwend~1" :

3)Certificates Search :
Egroup certificate not found !
Electronic-Group certificate found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !
4)Search known files :

*** Search completed on 02.05.2008 at 16:21:16,98 ***

und - wie sieht das aus?

Alt 02.05.2008, 15:34   #9
markusg
/// Malware-holic
 
Seit IE7 laufend Werbefenster - Standard

Seit IE7 laufend Werbefenster



noch net gut.
bitte nun mit option 2 weitermachen. log posten wir sind dann immer noch net durch!

Alt 02.05.2008, 18:47   #10
Raudi7
 
Seit IE7 laufend Werbefenster - Standard

Seit IE7 laufend Werbefenster



Nun denn, hier die entsprechende Log-Datei:

Navipromo Removal version 3.5.5 started on 02.05.2008 at 19:31:53,68
Fix running from C:\Programme\navilog1
Actual User Account : "XXXX"
Updated on 29.04.2008 at 20h00 by IL-MAFIOSO

Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 7.0.5730.13
Filesystem type : NTFS
Automatic removal
with Catchme and GNS results


*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)

*** Deleting with Backups GenericNaviSearch results ***
* Deletion in "C:\WINDOWS\System32" *

* Deletion in "C:\Dokumente und Einstellungen\xxx\lokale~1\anwend~1" *

* Deletion in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *

* Deletion in "C:\DOKUME~1\xxx\lokale~1\anwend~1" *

*** Deleting folders in "C:\WINDOWS" ***

*** Deleting folders in "C:\Programme" ***

*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***

*** Deleting folders in "c:\dokume~1\alluse~1\startm~1\progra~1" ***

*** Deleting folders in "C:\Dokumente und Einstellungen\xxx\anwend~1" ***

*** Deleting folders in "C:\DOKUME~1\ADMINI~1\anwend~1" ***

*** Deleting folders in "C:\DOKUME~1\xxx\anwend~1" ***

*** Deleting folders in "C:\Dokumente und Einstellungen\xxx\lokale~1\anwend~1" ***

*** Deleting folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" ***

*** Deleting folders in "C:\DOKUME~1\xxx\lokale~1\anwend~1" ***

*** Deleting folders in "C:\Dokumente und Einstellungen\xxx\startm~1\progra~1" ***

*** Deleting folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" ***

*** Deleting folders in "C:\DOKUME~1\xxx\startm~1\progra~1" ***

*** Deleting files ***

*** Deleting temporary files ***
Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\xxx\lokale~1\Temp done !
*** Complementary Search ***
(Search specific files)
1)Deletion with backups new Instant Access files:
2)Heuristic search and deletion with backups :

* In "C:\WINDOWS\system32" *

* In "C:\Dokumente und Einstellungen\xxx\lokale~1\anwend~1" *

* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *

* In "C:\DOKUME~1\xxx\lokale~1\anwend~1" *

*** Copy Registry to Safebackup folder ***
Backing up Registry done !
*** Cleaning Registry ***
Registry cleaned

*** Certificates ***
Egroup Certificate not found !
Electronic-Group Certificate deleted !
OOO-Favorit Certificate deleted !
Sunny-Day-Design-Ltd Certificate not found !
*** Cleaning stage complete on 02.05.2008 at 19:38:03,87 ***

Alt 02.05.2008, 18:50   #11
markusg
/// Malware-holic
 
Seit IE7 laufend Werbefenster - Standard

Seit IE7 laufend Werbefenster



na das ist doch schon mal was ;-)

* Lade Malwarebytes' Anti-Malware auf deinen Desktop herunter.
www.malwarebytes.org/mbam.php - 10k -
* Mache einen Doppel-Klick auf die mbam-setup.exe und folge den Hinweisen, um das Programm zu installieren.
* Vergewissere dich nun, dass folgende Optionen angehakt sind:

o Malwarebytes' Anti-Malware updaten
o Malwarebytes' Anti-Malware starten

* Klicke nun auf Fertigstellen.
* Wenn ein Update gefunden wird, wird es heruntergeladen und die neueste Version installieren.
* Wenn das Programm fertig geladen ist, wähle kompletScan durchführen, klicke auf Scan.
* Wenn der Scan beendet ist, klicke auf OK, dann auf Ergebnisse anzeigen.
* Vergewissere dich, dass neben allen Malware-Einträgen ein Häkchen sitzt.
* Klicke dann auf 'Ausgewähltes entfernen' und auf OK.
log posten + neues hijackthis-log + berichte wie rechner läuft

Alt 02.05.2008, 19:59   #12
Raudi7
 
Seit IE7 laufend Werbefenster - Standard

Seit IE7 laufend Werbefenster



Mehrere "Adware.ISTBar" wurden in der Registry gefunden.
Sollen diese entfernt werden?

Alt 02.05.2008, 20:06   #13
markusg
/// Malware-holic
 
Seit IE7 laufend Werbefenster - Standard

Seit IE7 laufend Werbefenster



ja und das log posten. dann neu starten und hijackthislog machen berichten wie rechner läuft.

Alt 02.05.2008, 20:29   #14
Raudi7
 
Seit IE7 laufend Werbefenster - Standard

Seit IE7 laufend Werbefenster



So, hier ist das Log-File von "Malwarebytes":

Malwarebytes' Anti-Malware 1.11
Datenbank Version: 709
Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|)
Objekte gescannt: 127562
Scan Dauer: 53 minute(s), 21 second(s)
Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)
Infizierte Speicher Module:
(Keine Malware Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{a36a5936-cfd9-4b41-86bd-319a1931887f} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{58634367-d62b-4c2c-86be-5aac45cdb671} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{8cba1b49-8144-4721-a7b1-64c578c9eed7} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{dc341f1b-ec77-47be-8f58-96e83861cc5a} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Sidefind (Adware.ISTBar) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\{10e42047-deb9-4535-a118-b3f6ec39b807} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{faa356e4-d317-42a6-ab41-a3021c6e7d52} (Adware.ISTBar) -> Quarantined and deleted successfully.
Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)
Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)
Infizierte Dateien:
(Keine Malware Objekte gefunden)

...und hier das neue Log-File von "HiJackThis":

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:19:35, on 02.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\AutoSizer\AutoSizer.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Logitech\SetPoint\kem.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: MSN Suche Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll
O3 - Toolbar: MSN Suche Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [MediaFace Integration] C:\Programme\Fellowes\MediaFACE 4.0\SetHook.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AutoSizer] "C:\Programme\AutoSizer\AutoSizer.exe"
O4 - HKCU\..\Run: [C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe] "1&1 EasyLogin" HIDE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\MSN Toolbar Suite\DS\02.05.0000.1082\de-de\bin\WindowsSearch.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: h**p://ny.contentmatch.net (HKLM)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
--
End of file - 8575 bytes

Der Rechner macht derzeit keine Zicken - hoffentlich bleibt das so!
Wie? - Jetzt nocheinmal "navilog1"?

Alt 02.05.2008, 20:45   #15
markusg
/// Malware-holic
 
Seit IE7 laufend Werbefenster - Standard

Seit IE7 laufend Werbefenster



CCleaner installieren und einstellen
  • CCleaner herunterladen und ohne die Toolbar installieren
    (klicke die Toolbar weg!).
  • CCleaner starten und => unter options settings => german einstellen.
  • Gehe auf den Button links oben "Cleaner" =>
    Reiter "Windows"
    setze Häkchen wie folgt:
    alle außer "Eingabefeld Verlauf" und bei
    Erweitert nur ein Häkchen bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner".
  • Wechsel zum Reiter "Anwendungen",
    dort alle Häkchen setzen außer bei Firefox/Mozilla (falls vorhanden) "Gespeicherte Formulardaten".
Bestimmte Cookies von der Bereinigung ausschließen
Einstellungen => Cookies => Cookies, die Du behalten möchtest, mit dem Pfeilbutton in der Mitte nach rechts befördern. Auf diese Weise ist gesichert, dass
wichtige Cookies bei der Bereinigung mit CCleaner nicht verloren gehen.

Temporäre Dateien und zusätzliche Ordner bereinigen lassen
Einstellungen => Benutzerdefiniert => Zu bereinigende Dateien und Ordner => Ordner hinzufügen =>
Code:
ATTFilter
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\DeinBenutzername\Lokale Einstellungen\Temp\*.*
C:\Windows\Temp\*.*
         
Anstelle von "DeinBenutzername" nimmst Du den Usernamen, mit welchem Du Dich auf Deinem Rechner einloggst.

Starte nun die Bereinigung, indem Du auf den Button "Analysieren" klickst. Wenn die Analyse fertig ist, klicke auf den Button "Starte CCleaner". Achte hier
mal darauf, wie viele MB bei der Bereinigung entfernt wurden und teile uns das mit.

Registry mit CCleaner bereinigen
Gehe links auf den Button "Einstellungen" und kontrolliere, ob bei "Erweitert" ein Haken bei "Zeige Aufforderung für ein Backup der Registry" vorhanden
ist, falls nicht, bitte anhaken. Zur Registry-Bereinigung klicke links auf "Registry", setze alle Häkchen und starte die Suche unten mit dem Button "nach
Fehlern suchen". Die gefundenen Fehler kannst Du durch den Button "Fehler beheben" entfernen lassen. Diesen Vorgang wiederholen, bis keine Fehler mehr
gefunden werden. Teile uns hier mit, wie viele Fehler bereinigt wurden.

Uninstall-Liste mit CCleaner erstellen
Extras => Programme deinstallieren => Als Textdatei speichern => diese Datei hier posten. Schreibe bitte "OK" bei den Programmen dahinter, die Dir bekannt
sind und die Du selbst installiert hast. Schreibe "kann weg" bei den Programmen dahinter, die Du nicht mehr brauchst. Schreibe "unbekannt" bei Programmen,
die Dir gar nichts sagen.

Hier kannst Du über "Eintrag entfernen" alte Einträge von Programmen entfernen, die bereits deinstalliert wurden, aber aus irgendeinem Grunde einen Uninstall-Eintrag

Über CCleaner
CCleaner (Crap Cleaner) ist ein kostenloses PC Optimierungs-Tool für Windows 98/NT4/ME/2000/XP/2003/Vista. CCleaner löscht unnötige Dateien und säubert
die Registrierung. Falls noch Fragen offen sind schaue Dir die Screenshots und die Quick-Tour
an oder frage mich. Deutsche und bebilderte CCleaner-Anleitungen findest Du u. a. bei ccleaner.de, WinFuture
oder bei CHIP Online.

Hinweis für Vista-User: Bitte das Programm als Admin starten.
berichte mir auserdem wie dein rechner läuft.

Antwort

Themen zu Seit IE7 laufend Werbefenster
adobe, application, bho, controlcenter, desktop, dll, drivers, einstellungen, excel, explorer, google, gservice, helper, hijack, hijackthis, hkus\s-1-5-18, home, installation, internet, internet explorer, kaspersky, log-file, pdf, popup, rundll, software, system, werbefenster, windows, windows xp



Ähnliche Themen: Seit IE7 laufend Werbefenster


  1. W-LAN Verbindung bricht laufend ab.
    Netzwerk und Hardware - 22.06.2015 (22)
  2. Firefox öffnet laufend Werbefenster
    Plagegeister aller Art und deren Bekämpfung - 20.04.2015 (16)
  3. TCP Verbindungen laufend mit Google verbunden
    Überwachung, Datenschutz und Spam - 26.04.2012 (3)
  4. Excel 2000 stürzt laufend ab
    Plagegeister aller Art und deren Bekämpfung - 10.12.2011 (7)
  5. MBR wird laufend überschrieben (Win7-64)
    Plagegeister aller Art und deren Bekämpfung - 02.02.2011 (11)
  6. Internetverbindung unterbricht laufend. Virus?
    Log-Analyse und Auswertung - 06.11.2010 (7)
  7. Sound stürzt laufend ab [Win7 32-bit]
    Plagegeister aller Art und deren Bekämpfung - 10.07.2010 (5)
  8. Ständig Werbefenster seit ein paar Tagen
    Plagegeister aller Art und deren Bekämpfung - 19.12.2009 (16)
  9. System friert laufend ein
    Plagegeister aller Art und deren Bekämpfung - 09.11.2009 (0)
  10. Laufend neue Registerkarten mit Werbung
    Log-Analyse und Auswertung - 06.03.2009 (19)
  11. Laufend Trojaner-Meldung bei Norton
    Mülltonne - 05.01.2009 (0)
  12. Firefox hängt sich laufend auf
    Alles rund um Windows - 29.07.2008 (12)
  13. Explorer muß laufend neu gestartet werden
    Alles rund um Windows - 27.04.2008 (4)
  14. Seit Tagen Werbefenster mit ~ am Anfang
    Log-Analyse und Auswertung - 24.12.2007 (0)
  15. Laufend Absturz
    Log-Analyse und Auswertung - 22.03.2007 (7)
  16. Bekomme laufend Werbung!!
    Log-Analyse und Auswertung - 15.09.2006 (6)
  17. PC stürtzt laufend ab
    Alles rund um Windows - 19.04.2006 (18)

Zum Thema Seit IE7 laufend Werbefenster - Hi Spezies! Seit der Installation des IE7 öffnen sich ständig Werbefenster verschiedenster Art. Alles googlen und dort gefundene Anweisungen haben nicht geholfen! Nun hofe ich auf eure Hilfe... Hier das - Seit IE7 laufend Werbefenster...
Archiv
Du betrachtest: Seit IE7 laufend Werbefenster auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.