Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Verdacht auf Win32/AdClicker.HF

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.07.2008, 16:08   #1
a_dee
 
Verdacht auf Win32/AdClicker.HF - Standard

Verdacht auf Win32/AdClicker.HF



Folgendes Problem:
Vor 6 Stunden kappte sich meine Internetverbindung plötzlich. Ich entfernte den USB Router und stöpselte ihn danach wieder an.
Anschließend öffnete ich die Netzwerkverbindungen. Dort sah ich dann, dass eine neue Möglichkeit mit dem Netz zu verbinden, automatisch erstellt wurde. Der Name dieser Verbindung war "Network Connection". Diese Verbindung löschte ich anschließend.

Etrust fand mit der Echtzeitprüfung inzwischen zwei infizierte Objekte mit dem Win32/Adclicker.hf

Nun das Problem: Die Objekte wurden nicht entfernt, da laut Etrust die Dateien nicht geöffnet werden konnten. Auch manuell war dies nicht möglich!

Einzige Nebenwirkung war bisher nochmaliger Abbruch meiner Internetverbindung und erneute Erstellung von "Internet Connection".

Etrust findet bei der Virensuche insgesammt 32 Dateien, welche nicht geöffnet werden können.

Bei den Dateien wrlche nicht geöffnet werden können handelt es sich in den meisten Fällen um Dateien mit den Endungen **.dat und **.log - weitere Endungen sind **.sys, **.lock, **.edb, sowie einige Dateien ohne direkte Endug.

Hat hier jemand einen Rat? Über google finde ich nur sehr wenige Ergebnisse für Win32/AdClicker.hf...

HiJackThis Log:

Logfile of Trend Micro HijackThis v2.0.2



[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]

Geändert von Sunny (21.07.2008 um 17:21 Uhr) Grund: Schreibfehler im Eröffnungspost, HiJackThis Logfile

Alt 21.07.2008, 16:29   #2
Silent sharK
 

Verdacht auf Win32/AdClicker.HF - Standard

Verdacht auf Win32/AdClicker.HF



Hallo und ,
Bitte editiere alle aktiven Links und persönliche Namen in deinem Log.
Zu den .dat und .log-Dateien handelt es sich schlimmstenfalls um Aufzeichnungen eines Keyloggers.

Ansonsten arbeite bitte folgende Punkte genau nach der Reihenfolge ab:


Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\WINDOWS\TEMP\BwoOpQm8.exe
C:\WINDOWS\system32\podx5032.dll
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Danach folge der Anleitung von MalwareBytes, Link findest du in meiner Signatur.

mfg
__________________

__________________

Alt 21.07.2008, 17:18   #3
a_dee
 
Verdacht auf Win32/AdClicker.HF - Standard

Verdacht auf Win32/AdClicker.HF



Logfile VirusTotal 1:

atei BwoOpQm8.exe empfangen 2008.07.21 16:41:58 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 26/34 (76.48%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 4.
Geschätzte Startzeit is zwischen 52 und 75 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.21.1 2008.07.21 Win-Trojan/Dialer.8218
AntiVir 7.8.1.11 2008.07.21 TR/Dialer.alc.1
Authentium 5.1.0.4 2008.07.20 W32/Heuristic-210!Eldorado
Avast 4.8.1195.0 2008.07.20 Win32ialer-937
AVG 8.0.0.130 2008.07.21 Dialer.GZN
BitDefender 7.2 2008.07.21 Application.Dialer.INL
CAT-QuickHeal 9.50 2008.07.18 TrojanDownloader.Zlob.akc
ClamAV 0.93.1 2008.07.21 PUA.Packed.UPack-2
DrWeb 4.44.0.09170 2008.07.21 Dialer.Tiny
eSafe 7.0.17.0 2008.07.21 Suspicious File
eTrust-Vet 31.6.5971 2008.07.21 -
Ewido 4.0 2008.07.21 Trojan.Dialer.alc
F-Prot 4.4.4.56 2008.07.20 W32/Heuristic-210!Eldorado
F-Secure 7.60.13501.0 2008.07.21 Trojan.Win32.Dialer.alc
Fortinet 3.14.0.0 2008.07.21 -
GData 2.0.7306.1023 2008.07.21 Trojan.Win32.Dialer.alc
Ikarus T3.1.1.34.0 2008.07.21 Trojan.Win32.Dialer.alc
Kaspersky 7.0.0.125 2008.07.21 Trojan.Win32.Dialer.alc
McAfee 5342 2008.07.18 New Malware.aj
Microsoft 1.3704 2008.07.21 -
NOD32v2 3284 2008.07.21 -
Norman 5.80.02 2008.07.21 W32/Suspicious_U.gen
Panda 9.0.0.4 2008.07.20 -
PCTools 4.4.2.0 2008.07.21 Packed/Upack
Prevx1 V2 2008.07.21 -
Rising 20.54.02.00 2008.07.21 -
Sophos 4.31.0 2008.07.21 Troj/Dialer-FE
Sunbelt 3.1.1536.1 2008.07.18 VIPRE.Suspicious
Symantec 10 2008.07.21 -
TheHacker 6.2.96.385 2008.07.20 Trojan/Dialer.alc
TrendMicro 8.700.0.1004 2008.07.21 PAK_Generic.006
VBA32 3.12.8.1 2008.07.21 Trojan.Win32.Dialer.alc
VirusBuster 4.5.11.0 2008.07.21 Packed/Upack
Webwasher-Gateway 6.6.2 2008.07.21 Trojan.Dialer.alc.1
weitere Informationen
File size: 8278 bytes
MD5...: aecdbb8e4e4dc1be3cab27bc39a6acb5
SHA1..: 18df02e6d69b8414ebbc47ec8665b333f52e4cdb
SHA256: 4d35799838ac0e49d8e6a21c68102203a7a1e588a3a07314d7fa07a2b955e99b
SHA512: e027162b5188f8f3d8b7cc37c41579c7f750553622d115e6f4ce59da1cd29de3
caa40779e43aad027a447a492c079751543c8a49016e23b4eec92f1443ed60b9
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401018
timedatestamp.....: 0x4011b0be (Fri Jan 23 23:39:42 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
PS 0x1000 0x13000 0x1f0 5.24 399dc4bf37e672a8e3c32bb1ccd2bc2d
@_A 0x14000 0x9000 0x1da8 7.08 1a75e71b66f812b0e1a9b6a57895074b
A3A@ 0x1d000 0x1000 0x1f0 5.24 399dc4bf37e672a8e3c32bb1ccd2bc2d

( 0 imports )

( 0 exports )
packers (Avast): Upack
packers (Authentium): UPack
packers (Kaspersky): PE_Patch, UPack
packers (F-Prot): UPack

VirustTotal 2:

Datei podx5032.dll empfangen 2008.07.21 16:44:31 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 22/33 (66.67%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 27.
Geschätzte Startzeit is zwischen 118 und 168 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.21.1 2008.07.21 Win-Trojan/Agent.12144.B
AntiVir 7.8.1.11 2008.07.21 TR/Agent.14427.B
Authentium 5.1.0.4 2008.07.20 W32/Agent.HFD
Avast 4.8.1195.0 2008.07.20 Win32:Agent-TYG
AVG 8.0.0.130 2008.07.21 Generic3.OE
BitDefender 7.2 2008.07.21 Adware.Generic.27668
CAT-QuickHeal 9.50 2008.07.18 AdWare.Stud.n (Not a Virus)
ClamAV 0.93.1 2008.07.21 Adware.Stud-3
DrWeb 4.44.0.09170 2008.07.21 -
eSafe 7.0.17.0 2008.07.21 Suspicious File
eTrust-Vet 31.6.5971 2008.07.21 -
Ewido 4.0 2008.07.21 Not-A-Virus.Adware.Stud
F-Prot 4.4.4.56 2008.07.20 W32/Agent.HFD
F-Secure 7.60.13501.0 2008.07.21 AdWare.Win32.Stud.n
Fortinet 3.14.0.0 2008.07.21 -
GData 2.0.7306.1023 2008.07.21 Win32:Agent-TYG
Ikarus T3.1.1.34.0 2008.07.21 not-a-virus:AdWare.Win32.Stud.d
Kaspersky 7.0.0.125 2008.07.21 -
McAfee 5342 2008.07.18 -
Microsoft 1.3704 2008.07.21 -
NOD32v2 3284 2008.07.21 Win32/Adware.Stud
Norman 5.80.02 2008.07.21 W32/Stud.BF
Panda 9.0.0.4 2008.07.20 Suspicious file
PCTools 4.4.2.0 2008.07.21 -
Rising 20.54.02.00 2008.07.21 -
Sophos 4.31.0 2008.07.21 Mal/Behav-010
Sunbelt 3.1.1536.1 2008.07.18 -
Symantec 10 2008.07.21 -
TheHacker 6.2.96.385 2008.07.20 Adware/Stud.n
TrendMicro 8.700.0.1004 2008.07.21 PAK_Generic.001
VBA32 3.12.8.1 2008.07.21 suspected of Trojan-Downloader.Agent.47 (paranoid heuristics)
VirusBuster 4.5.11.0 2008.07.21 -
Webwasher-Gateway 6.6.2 2008.07.21 Trojan.Agent.14427.B
weitere Informationen
File size: 39540 bytes
MD5...: 74eb65da737acac8eb0fa01b20c024c1
SHA1..: d8e94222c7369cfabee1cb661727d542caa4a3de
SHA256: 8be715ceab5fa1cf01e531ca4ded00c8e24f62f3fe8a981438ead89f87c4be2a
SHA512: e71c270d86d666e498d97be01cb81fce0d4f5fca905e285a110929edbf7d21fa
31fdf328ea911f3682fbc54a0e6c6c2181c2ad780e8e23851a0ab7975a5db215
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10009090
timedatestamp.....: 0x47ac6dc4 (Fri Feb 08 14:57:08 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x6000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x7000 0x3000 0x2400 7.69 c4fd3481a2b404bb29959b68e72f029f
UPX2 0xa000 0x1000 0x400 2.65 cfa7783e26c0a74d865fb216d4d0ab53

( 5 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree
> ADVAPI32.dll: RegCloseKey
> urlmon.dll: ObtainUserAgentString
> USER32.dll: CharNextA
> WININET.dll: InternetOpenA

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
__________________

Alt 21.07.2008, 17:30   #4
Silent sharK
 

Verdacht auf Win32/AdClicker.HF - Standard

Verdacht auf Win32/AdClicker.HF



Ok, dann bitte noch die Prozedur mit MalwareBytes
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 21.07.2008, 18:12   #5
a_dee
 
Verdacht auf Win32/AdClicker.HF - Standard

Verdacht auf Win32/AdClicker.HF



So... Hier nun die Logdatei von Malwarebytes:

Malwarebytes' Anti-Malware 1.22
Datenbank Version: 974
Windows 5.1.2600 Service Pack 2

18:11:22 21.07.2008
mbam-log-7-21-2008 (18-11-22).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 151707
Laufzeit: 49 minute(s), 8 second(s)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
C:\WINDOWS\Temp\BwoOpQm8.exe (Spyware.OnlineGames) -> Unloaded process successfully.
C:\Dokumente und Einstellungen\Adrian Tobias Varga\Lokale Einstellungen\Temp\ufnVJMxL.exe (Spyware.OnlineGames) -> Unloaded process successfully.

Infizierte Speichermodule:
C:\WINDOWS\system32\podx5032.dll (Adware.Agent) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{a67a08a9-efd1-470e-8cc7-eb0054e38a7a} (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a67a08a9-efd1-470e-8cc7-eb0054e38a7a} (Adware.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\podx5032.dll (Adware.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BwoOpQm8.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Adrian Tobias Varga\Lokale Einstellungen\Temp\ufnVJMxL.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Sabine Elke Leber\Lokale Einstellungen\Temp\GLKA6.tmp (Rogue.EvidenceEliminator) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{53C4C432-4C83-4FAB-ABF0-92303FF6D88A}\RP115\A0020958.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{53C4C432-4C83-4FAB-ABF0-92303FF6D88A}\RP152\A0024055.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.


Alt 21.07.2008, 18:16   #6
Silent sharK
 

Verdacht auf Win32/AdClicker.HF - Standard

Verdacht auf Win32/AdClicker.HF



Gut, nun deaktiviere die Systemwiederherstellung:
Rechtsklick auf "Arbeitsplatz" => Eigenschaften => Systemwiederherstellung => Häkchen bei "Systenwiederherstellung auf allen Laufwerken deaktivieren" setzen.
Reboote deinen Rechner, dann die Systemwiederherstellung wieder aktivieren.

Mache dann folgendes:

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
  • Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
  • Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
    Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
  • Wähle E für Englisch im Sprachenmenü
  • Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
  • Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
  • Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
  • Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.
Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

mfg
__________________
--> Verdacht auf Win32/AdClicker.HF

Alt 21.07.2008, 18:34   #7
a_dee
 
Verdacht auf Win32/AdClicker.HF - Standard

Verdacht auf Win32/AdClicker.HF



Hier nun Log von fixnavi:

Search Navipromo version 3.6.1 began on 21.07.2008 at 18:28:44,57

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "Adrian Tobias Varga"

Updated on 19.07.2008 at 20h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.11
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Adrian Tobias Varga\anwend~1" ***


*** Search folders in "C:\DOKUME~1\Besitzer\anwend~1" ***


*** Search folders in "C:\DOKUME~1\MARIE-~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\SABINE~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Adrian Tobias Varga\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\MARIE-~1\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\SABINE~1\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Adrian Tobias Varga\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\MARIE-~1\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\SABINE~1\startm~1\progra~1" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

No Navipromo file found


*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Adrian Tobias Varga\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\MARIE-~1\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\SABINE~1\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Adrian Tobias Varga\lokale~1\anwend~1" :


* In "C:\DOKUME~1\MARIE-~1\lokale~1\anwend~1" :


* In "C:\DOKUME~1\SABINE~1\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 21.07.2008 at 18:35:12,87 ***

Alt 21.07.2008, 18:50   #8
Silent sharK
 

Verdacht auf Win32/AdClicker.HF - Standard

Verdacht auf Win32/AdClicker.HF



Sieht gut aus,
poste nun ein frisches, editiertes HijackThis Logfile.

mfg
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 21.07.2008, 18:56   #9
a_dee
 
Verdacht auf Win32/AdClicker.HF - Standard

Verdacht auf Win32/AdClicker.HF



HijackThis Logfile nach genannten Maßnahmen:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:55:39, on 21.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Fingerprint Sensor\ATSwpNav.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\ScanPanel\ScnPanel.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATSwpNav] "C:\Programme\Fingerprint Sensor\ATSwpNav" -run
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSD.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c "
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [Ulead Photo Express 5 SE Calendar Checker] C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Dokumente und Einstellungen\***\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Dokumente und Einstellungen\***\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk (file missing) (HKCU)
O9 - Extra button: MedionShop - {DAA3903C-AC88-4D16-B050-F21EB1F79BE6} - h**p://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=h**p://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126091180221
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - h**p://www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D30FE54-6483-48DF-A247-4073E8BFA354}: NameServer = 195.50.140.178 195.50.140.114
O17 - HKLM\System\CCS\Services\Tcpip\..\{8872F30C-D64C-4134-A264-80B9D0C5F9EC}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 11818 bytes

Alt 21.07.2008, 19:01   #10
Silent sharK
 

Verdacht auf Win32/AdClicker.HF - Standard

Verdacht auf Win32/AdClicker.HF



Das hier noch mit HijackThis fixen:
Zitat:
O9 - Extra button: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Dokumente und Einstellungen\***\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk (file missing) (HKCU)
O9 - Extra button: MedionShop - {DAA3903C-AC88-4D16-B050-F21EB1F79BE6} - h**p://www.medionshop.de/ (file missing) (HKCU)
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - h**p://www.adobe.com/products/acrobat/nos/gp.cab
Dazu HijackThis öffnen, auf "do a system scan only" klicken => rechts ein Häkchen bei dem entsprechendem Eintrag setzen => auf "fix checked" klicken
Danach den Rechner neustarten.

Wenn du keine Probleme mit deinem Rechner hast, kann ich dich entlassen.

mfg
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 21.07.2008, 19:12   #11
a_dee
 
Verdacht auf Win32/AdClicker.HF - Standard

Verdacht auf Win32/AdClicker.HF



Vielen Dank für die schnelle und kompetente Hilfe!
Ich komm früher oder später wieder, leider kann man sich darauf verlassen

Bis demnächst!

Alt 21.07.2008, 19:16   #12
Silent sharK
 

Verdacht auf Win32/AdClicker.HF - Standard

Verdacht auf Win32/AdClicker.HF



Kein Problem, schönen Abend noch

mfg
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Antwort

Themen zu Verdacht auf Win32/AdClicker.HF
abbruch, automatisch, connection, dateien, ellung, ergebnisse, erstellt, folge, google, handel, hijack, hijackthis, hijackthis log, infizierte, internetverbindung, links, micro, network, neue, nicht möglich, problem, router, suche, trend, usb, verbindung, verdacht, win



Ähnliche Themen: Verdacht auf Win32/AdClicker.HF


  1. Verdacht auf Trojaner gamethief.win32.OnLinegames.asgc
    Plagegeister aller Art und deren Bekämpfung - 08.01.2010 (1)
  2. Verdacht auf win32/cheqtal!generic
    Plagegeister aller Art und deren Bekämpfung - 02.08.2008 (0)
  3. Trojaner ADW ADCLICKER.BJ was soll ich tun??
    Plagegeister aller Art und deren Bekämpfung - 31.01.2008 (14)
  4. Trojaner-Verdacht: Win32:Agent-PBF + Win32:Zlob-AJG
    Log-Analyse und Auswertung - 05.01.2008 (1)
  5. hjt logfile auswerten, bitte helft mir... ntos.exe! verdacht auf win32.agent.pz
    Log-Analyse und Auswertung - 26.09.2007 (8)
  6. Trojan-Adclicker in Windows\System32\NSV26.DLL
    Plagegeister aller Art und deren Bekämpfung - 24.09.2007 (63)
  7. Trojan.Adclicker & Igfxtray.exe - Wie entfernen?
    Log-Analyse und Auswertung - 21.09.2007 (13)
  8. Vundo, adclicker, purityscan ....
    Plagegeister aller Art und deren Bekämpfung - 14.02.2007 (6)
  9. Adw.adclicker.bj
    Plagegeister aller Art und deren Bekämpfung - 20.08.2006 (6)
  10. Trojan.Adclicker und andere Viren
    Plagegeister aller Art und deren Bekämpfung - 12.01.2006 (7)
  11. Trojaner Adclicker
    Plagegeister aller Art und deren Bekämpfung - 22.10.2005 (2)
  12. trojan.adclicker
    Plagegeister aller Art und deren Bekämpfung - 03.05.2005 (1)
  13. adclicker.ba & starpage.tr - externe festplatte als lösung?
    Plagegeister aller Art und deren Bekämpfung - 30.04.2005 (3)
  14. W32/adclicker
    Plagegeister aller Art und deren Bekämpfung - 18.04.2005 (5)
  15. Trojaner.Adclicker
    Plagegeister aller Art und deren Bekämpfung - 22.03.2004 (5)
  16. Trojan Adclicker!! hilfe
    Plagegeister aller Art und deren Bekämpfung - 20.03.2004 (0)
  17. Trojan.Adclicker hat explorer.exe infiziert
    Plagegeister aller Art und deren Bekämpfung - 18.03.2004 (11)

Zum Thema Verdacht auf Win32/AdClicker.HF - Folgendes Problem: Vor 6 Stunden kappte sich meine Internetverbindung plötzlich. Ich entfernte den USB Router und stöpselte ihn danach wieder an. Anschließend öffnete ich die Netzwerkverbindungen. Dort sah ich dann, - Verdacht auf Win32/AdClicker.HF...
Archiv
Du betrachtest: Verdacht auf Win32/AdClicker.HF auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.