Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Diverse Malware ruft Adseiten auf

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.11.2008, 14:51   #1
TS1984
 
Diverse Malware ruft Adseiten auf - Standard

Diverse Malware ruft Adseiten auf



Hallo,
leider habe ich gestern eine Datei geöffnet, welche offensichtlich mit Schädlingen befallen war, da beim Öffnen direkt diverse Virenwarnungen von AntiVir kamen. Die Malwarewarnungen bezogen sich konkret auf folgende Schädlinge:
TR/Dldr.VB.iqv' [trojan]
DR/Dldr.Agent.aopb' [dropper]
DR/BHO.dwj' [dropper]
HEUR/Crypted' [heuristic]
TR/Crypt.CFI.Gen' [trojan]
EXP/MS05-013' [exploit]
TR/Buzus.adbl.1' [trojan]

Ich habe sämtliche Funde mittels AntiVir gelöscht, jedoch öffnet sich seitdem in regelmäßigen Abständen Firefox und versucht auf die Seite h**p://ads.globaladsolution.com/bc/1stpageads.php zuzugreifen, woraufhin aber nur folgende Fehlermeldung im Browser angezeigt wird:

"Error - Ads need to be loaded from adcode, if you keep getting this error contact your account rep."

Nachfolgend mein HJT-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:22:57, on 25.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\System32\regsvr32.exe
C:\WINDOWS\system32\iesvcmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.netcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netcologne.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer bereitgestellt von NetCologne
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: globaladsolution - {6b59562a-b48b-1b33-d996-0ea0fa10f13d} - C:\WINDOWS\system32\nsx69.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: globaladsolution browser enhancer - {D85143F4-3EBD-7E5C-EDD0-77358D937B23} - C:\WINDOWS\system32\lcorxsldtrpcn.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ykjkcfrdynw] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\lcorxsldtrpcn.dll"
O4 - HKLM\..\Run: [iesvcmon] "C:\WINDOWS\system32\iesvcmon.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7351 bytes

Ich wäre sehr erleichtert, wenn ich um eine Formatierung herumkommen könnte. Vielen Dank schonmal im Voraus für jede Hilfe!

Thomas

Alt 25.11.2008, 16:18   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Diverse Malware ruft Adseiten auf - Standard

Diverse Malware ruft Adseiten auf



Hallo und

Acker diese Punkte für weitere Analysen ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\WINDOWS\system32\iesvcmon.exe
C:\WINDOWS\system32\nsx69.dll
C:\WINDOWS\system32\lcorxsldtrpcn.dll
         
2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten. Vor dem Ausführen von Malwarebytes den Wächter Deines Virenscanners abschalten!!

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
7.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

8.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
__________________

__________________

Alt 25.11.2008, 21:01   #3
TS1984
 
Diverse Malware ruft Adseiten auf - Standard

Diverse Malware ruft Adseiten auf



So, fertig mit der ganzen Prozedur! Vielen Dank schonmal für die Antwort! Leider musste ich in 2 Beiträgen schreiben, weil das Forum die Zeichenzahl meines Beitrags nicht akzeptieren wollte; ich hoffe das macht nichts.

1) Zunächst die Virustotal-Scans (leider habe ich die Scans erst nach den anderen Schritten gemacht, hoffentlich sind die Ergebnisse trotzdem aufschlussreich):

Code:
ATTFilter
 Datei iesvcmon.exe empfangen 2008.11.23 14:14:05 (CET)
Status: Beendet
Ergebnis: 5/36 (13.89%)
Dateigröße: 1,44 MB (1.515.520 Bytes)

Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3 	- 	- 	-
AntiVir 	- 	- 	-
Authentium 	- 	- 	-
Avast 	- 	- 	-
AVG 	- 	- 	VB.FIU
BitDefender 	- 	- 	-
CAT-QuickHeal 	- 	- 	-
ClamAV 	- 	- 	-
DrWeb 	- 	- 	-
eSafe 	- 	- 	-
eTrust-Vet 	- 	- 	-
Ewido 	- 	- 	-
F-Prot 	- 	- 	-
F-Secure 	- 	- 	Suspicious:W32/VB.bbx!Gemini
Fortinet 	- 	- 	-
GData 	- 	- 	-
Ikarus 	- 	- 	-
K7AntiVirus 	- 	- 	-
Kaspersky 	- 	- 	-
McAfee 	- 	- 	Puper
Microsoft 	- 	- 	-
NOD32 	- 	- 	-
Norman 	- 	- 	-
Panda 	- 	- 	-
PCTools 	- 	- 	-
Prevx1 	- 	- 	Cloaked Malware
Rising 	- 	- 	-
SecureWeb-Gateway 	- 	- 	-
Sophos 	- 	- 	-
Sunbelt 	- 	- 	-
Symantec 	- 	- 	-
TheHacker 	- 	- 	-
TrendMicro 	- 	- 	-
VBA32 	- 	- 	suspected of Trojan-PSW.Lmir.14 (paranoid heuristics)
ViRobot 	- 	- 	-
VirusBuster 	- 	- 	-
weitere Informationen
MD5: 903e3b330bb16cbbd72679db38ff953b
SHA1: fa0aa948a772b299d201f7feac31d490c709e4c0
SHA256: 26f5ae5dc2c99e80a77bf9573510882a7bc37f95f5e29ea607baa41fba6191f5
SHA512: e4793f11442da781887b6d32da46fbba1ff57431a8ca0d4da8cc6c307161d2120de20e24ea45ec35093b963fae7fda79fa6b8a54d10baba86fef64a3796d1960

----------------------------------------------------------------------------------------------


 Datei nsx69.dll empfangen 2008.11.25 20:15:30 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 3/37 (8.11%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 11.
Geschätzte Startzeit is zwischen 85 und 122 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.

Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2008.11.24.3	2008.11.25	-
AntiVir	7.9.0.35	2008.11.25	-
Authentium	5.1.0.4	2008.11.25	-
Avast	4.8.1281.0	2008.11.24	-
AVG	8.0.0.199	2008.11.25	-
BitDefender	7.2	2008.11.25	-
CAT-QuickHeal	10.00	2008.11.25	-
ClamAV	0.94.1	2008.11.25	-
DrWeb	4.44.0.09170	2008.11.25	-
eSafe	7.0.17.0	2008.11.25	-
eTrust-Vet	31.6.6227	2008.11.25	-
Ewido	4.0	2008.11.25	-
F-Prot	4.4.4.56	2008.11.25	-
F-Secure	8.0.14332.0	2008.11.25	-
Fortinet	3.117.0.0	2008.11.25	-
GData	19	2008.11.25	-
Ikarus	T3.1.1.45.0	2008.11.25	AdWare.Win32.MxLiveMedia
K7AntiVirus	7.10.533	2008.11.25	-
Kaspersky	7.0.0.125	2008.11.25	-
McAfee	5444	2008.11.24	-
McAfee+Artemis	5444	2008.11.24	-
Microsoft	1.4104	2008.11.25	Adware:Win32/MxLiveMedia
NOD32	3640	2008.11.25	-
Norman	5.80.02	2008.11.25	-
Panda	9.0.0.4	2008.11.25	-
PCTools	4.4.2.0	2008.11.25	-
Prevx1	V2	2008.11.25	-
Rising	21.05.12.00	2008.11.25	-
SecureWeb-Gateway	6.7.6	2008.11.25	-
Sophos	4.35.0	2008.11.25	-
Sunbelt	3.1.1823.2	2008.11.22	-
Symantec	10	2008.11.25	-
TheHacker	6.3.1.1.162	2008.11.25	-
TrendMicro	8.700.0.1004	2008.11.25	-
VBA32	3.12.8.9	2008.11.25	-
ViRobot	2008.11.25.1485	2008.11.25	-
VirusBuster	4.5.11.0	2008.11.25	Adware.Adrotator.Gen.2
weitere Informationen
File size: 555008 bytes
MD5...: 691235aba5c42ce8a4783913b5572f48
SHA1..: bcc2a1feebe3d88d5f01ae6c97921dd8513050bb
SHA256: a51a10688adac8d67b1833493845eb499989891bc9e18cfa25749029f3aaa22f
SHA512: 7133ec5cc09c400f017bcbf693500a215c56ae129b3bec3ef1dc96fa31a48362
b7690ebbe325b1d6c9591fab2b59a9dd48bf81984caf3ecd565a1a1c0801e07a
ssdeep: 12288:X+dPFAoioTT4Ydj6ujs899cH3MSl9e5j5+FZGL7az9JfC9wTB506g3LnKC
:XWMqT4Y3b9iH3MSep5qCGTB50p7KC
PEiD..: -
TrID..: File type identification
DirectShow filter (77.7%)
Win32 Executable MS Visual C++ (generic) (14.5%)
Win32 Executable Generic (3.2%)
Win32 Dynamic Link Library (generic) (2.9%)
Generic Win/DOS Executable (0.7%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10047b41
timedatestamp.....: 0x49073e56 (Tue Oct 28 16:31:18 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x693b3 0x69400 6.76 60d5752132fa6bf830a1b3ec9dbaf313
.rdata 0x6b000 0x136da 0x13800 4.85 dfc0bbd18989dd5a473d98c944955af8
.data 0x7f000 0x4efc 0x1800 3.68 cb83fa1d04ea9d706bddc3b18526f2fc
.rsrc 0x84000 0x4a0 0x600 4.54 74d9fe786082b42abeecaa5bed867691
.reloc 0x85000 0x889a 0x8a00 5.92 5ca48fa9516a328d84c4824248f3ab78

( 10 imports )
> SHLWAPI.dll: StrStrIW, UrlGetPartW, UrlEscapeW, PathMatchSpecW, UrlUnescapeW, StrCmpIW
> KERNEL32.dll: GetCommandLineA, CompareStringW, CompareStringA, InterlockedIncrement, InterlockedDecrement, EnterCriticalSection, DeleteCriticalSection, GetProcAddress, LoadLibraryA, MultiByteToWideChar, GetDriveTypeA, GetProcessHeap, SetEndOfFile, CreateFileA, GetModuleHandleA, GetTimeZoneInformation, SetStdHandle, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, InitializeCriticalSectionAndSpinCount, GetStringTypeW, GetStringTypeA, GetLocaleInfoA, GetCurrentDirectoryA, SetFilePointer, GetDateFormatA, GetTimeFormatA, IsValidCodePage, GetOEMCP, GetACP, FlushFileBuffers, GetConsoleMode, GetConsoleCP, ReadFile, WriteFile, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetFullPathNameW, InitializeCriticalSection, LeaveCriticalSection, FreeLibrary, WideCharToMultiByte, CreateMutexW, WaitForSingleObject, ReleaseMutex, CloseHandle, Sleep, GetModuleFileNameA, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, HeapReAlloc, VirtualAlloc, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetLastError, HeapFree, GetCurrentThreadId, SetEnvironmentVariableA, GetSystemTimeAsFileTime, ExitThread, CreateThread, FindClose, FileTimeToSystemTime, FileTimeToLocalFileTime, GetDriveTypeW, FindFirstFileW, RaiseException, RtlUnwind, LCMapStringA, LCMapStringW, GetCPInfo, HeapAlloc, GetModuleHandleW, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, HeapSize, ExitProcess, HeapCreate, HeapDestroy, VirtualFree
> USER32.dll: GetWindowLongW, wsprintfW, SetWindowTextW, SetWindowPos, SetWindowLongW, EnumChildWindows, RealGetWindowClassW, GetWindowTextW, SendMessageW, CallWindowProcW
> ole32.dll: CoUninitialize, CoCreateInstance, CoTaskMemFree, CoInitialize
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -
> WS2_32.dll: -
> RPCRT4.dll: UuidToStringW, RpcStringFreeW
> urlmon.dll: UrlMkGetSessionOption
> imagehlp.dll: MapAndLoad, UnMapAndLoad
> SHELL32.dll: SHCreateDirectoryExW

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer


----------------------------------------------------------------------------------------

 Datei lcorxsldtrpcn.dll empfangen 2008.11.25 20:18:33 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 17/37 (45.95%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 38 und 55 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.

Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2008.11.24.3	2008.11.25	Win-Trojan/Rotator.172544.I
AntiVir	7.9.0.35	2008.11.25	-
Authentium	5.1.0.4	2008.11.25	W32/AdRotator.B.gen!Eldorado
Avast	4.8.1281.0	2008.11.24	-
AVG	8.0.0.199	2008.11.25	Adload_r.EC
BitDefender	7.2	2008.11.25	Generic.Adw.Rotator.FE42F158
CAT-QuickHeal	10.00	2008.11.25	-
ClamAV	0.94.1	2008.11.25	Adware.AdRotator-10
DrWeb	4.44.0.09170	2008.11.25	-
eSafe	7.0.17.0	2008.11.25	-
eTrust-Vet	31.6.6227	2008.11.25	Win32/AdClicker
Ewido	4.0	2008.11.25	-
F-Prot	4.4.4.56	2008.11.25	W32/AdRotator.B.gen!Eldorado
F-Secure	8.0.14332.0	2008.11.25	AdWare.Win32.Agent.hem
Fortinet	3.117.0.0	2008.11.25	Adware/AdClicker
GData	19	2008.11.25	Generic.Adw.Rotator.FE42F158
Ikarus	T3.1.1.45.0	2008.11.25	Virus.Win32.Adload
K7AntiVirus	7.10.533	2008.11.25	-
Kaspersky	7.0.0.125	2008.11.25	not-a-virus:AdWare.Win32.Agent.hem
McAfee	5444	2008.11.24	AdClicker-GI
McAfee+Artemis	5444	2008.11.24	AdClicker-GI
Microsoft	1.4104	2008.11.25	Adware:Win32/AdRotator
NOD32	3640	2008.11.25	-
Norman	5.80.02	2008.11.25	-
Panda	9.0.0.4	2008.11.25	-
PCTools	4.4.2.0	2008.11.25	-
Prevx1	V2	2008.11.25	-
Rising	21.05.12.00	2008.11.25	-
SecureWeb-Gateway	6.7.6	2008.11.25	-
Sophos	4.35.0	2008.11.25	SuperiorAds
Sunbelt	3.1.1823.2	2008.11.22	-
Symantec	10	2008.11.25	-
TheHacker	6.3.1.1.162	2008.11.25	-
TrendMicro	8.700.0.1004	2008.11.25	-
VBA32	3.12.8.9	2008.11.25	-
ViRobot	2008.11.25.1485	2008.11.25	-
VirusBuster	4.5.11.0	2008.11.25	Adware.Adrotator.Gen.2
weitere Informationen
File size: 173056 bytes
MD5...: de0f4bbf93f819d8a8f3cec8d76ed697
SHA1..: ba0de6a81a5d1bb1421edecf359a2c0b88b5ac08
SHA256: dead1652739e66c3c3eca33c8c8fa131c9f55474b3f56c0880576c9cc078fe79
SHA512: a9d8fc9af8692baeaee0da76bcdeb9af1ee15e376309c8ad725f6e6a3c99cbd8
f20319af3b0425c81915dc01020d93301385323c45492a6344cfd62331b16298
ssdeep: 3072:paJw9fCgYeDT14cD37ENdWBaC1y2ak5ix:pR9fWeCcDo8Baqab
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000fc48
timedatestamp.....: 0x490745bc (Tue Oct 28 17:02:52 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1ecff 0x1ee00 6.68 c4993331a148443565afc0b8369ccb28
.rdata 0x20000 0x6c4b 0x6e00 5.37 f4f64fd8a3c1803c00a2c82b8d3e8dcb
.data 0x27000 0x33e4 0x1800 3.92 205868de80a3d4cb1e4aab737dae00a5
.rsrc 0x2b000 0x34c 0x400 4.69 119f993e12f49a1739e2bb96f9406f97
.reloc 0x2c000 0x271a 0x2800 4.96 507008178713da89e721a15bb9e03a09

( 8 imports )
> RPCRT4.dll: UuidToStringW, RpcStringFreeW
> VERSION.dll: VerQueryValueW, GetFileVersionInfoSizeW, GetFileVersionInfoW
> SHLWAPI.dll: StrCmpIW, StrStrIW, PathStripPathW, UrlEscapeW, SHDeleteKeyW
> KERNEL32.dll: ExitThread, WaitForSingleObject, CreateThread, Sleep, GetModuleFileNameW, OpenMutexW, GetSystemTime, CreateEventW, OpenProcess, CreateMutexW, GetLastError, InterlockedIncrement, InterlockedDecrement, lstrcmpW, GetTickCount, SystemTimeToFileTime, GetLocalTime, LocalFree, LoadLibraryA, FreeLibrary, ExpandEnvironmentStringsW, WideCharToMultiByte, MultiByteToWideChar, GetTempFileNameW, GetEnvironmentVariableW, LocalAlloc, VirtualQuery, GetVolumeInformationW, LoadLibraryW, GetSystemInfo, GetStringTypeW, GetStringTypeA, LCMapStringA, GetLocaleInfoA, InitializeCriticalSectionAndSpinCount, GetConsoleMode, GetConsoleCP, SetFilePointer, HeapReAlloc, VirtualAlloc, GetSystemTimeAsFileTime, GetCurrentProcessId, QueryPerformanceCounter, VirtualFree, HeapDestroy, HeapCreate, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, GetProcAddress, CreateProcessW, CloseHandle, SetEvent, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, InitializeCriticalSection, lstrlenW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileA, FlushFileBuffers, GetWindowsDirectoryW, GetFileType, SetHandleCount, LCMapStringW, IsValidCodePage, GetOEMCP, GetACP, GetCPInfo, GetModuleFileNameA, GetStdHandle, WriteFile, ExitProcess, HeapSize, GetModuleHandleA, SetLastError, TlsFree, TlsSetValue, RaiseException, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, RtlUnwind, GetCurrentThreadId, GetCommandLineA, HeapFree, HeapAlloc, GetModuleHandleW, TlsGetValue, TlsAlloc
> USER32.dll: GetWindowTextW, EnumChildWindows, RealGetWindowClassW, CallWindowProcW, SetWindowLongW, GetWindowThreadProcessId, SetActiveWindow, SendMessageW, GetPropW, RemovePropW, SetWindowTextW, SetPropW, IntersectRect, InflateRect, ClientToScreen, PeekMessageW, MsgWaitForMultipleObjects, TranslateMessage, DispatchMessageW, GetClassNameW, PostMessageW, OffsetRect
> ADVAPI32.dll: CryptCreateHash, CryptGetHashParam, ConvertStringSecurityDescriptorToSecurityDescriptorW, GetSecurityDescriptorSacl, SetSecurityInfo, CryptGenRandom, CryptAcquireContextW, CryptHashData, CryptDestroyHash, CryptReleaseContext, RegQueryValueExW, RegCreateKeyW, RegCreateKeyExW, RegSetValueW, RegDeleteValueW, RegOpenKeyExW, RegSetValueExW, RegCloseKey
> ole32.dll: CoInitializeEx, CoCreateInstance, CoTaskMemFree, CoUninitialize
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
         
3) Die Ergebnisse des MBR-Tools:

Code:
ATTFilter
http://www.file-upload.net/download-1276947/MBR-log.rar.html
         
4) Ergebnisse von Blacklight:

Code:
ATTFilter
11/25/08 17:27:07 [Info]: BlackLight Engine 2.2.1092 initialized
11/25/08 17:27:07 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/25/08 17:27:07 [Note]: 7019 4
11/25/08 17:27:07 [Note]: 7005 0
11/25/08 17:27:13 [Note]: 7006 0
11/25/08 17:27:13 [Note]: 7011 1440
11/25/08 17:27:13 [Note]: 7035 0
11/25/08 17:27:13 [Note]: 7026 0
11/25/08 17:27:13 [Note]: 7026 0
11/25/08 17:27:15 [Note]: FSRAW library version 1.7.1024
11/25/08 17:30:32 [Note]: 2000 1012
11/25/08 17:30:32 [Note]: 2000 1012
         
Ergebnisse von Malwarebytes Antimalware:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1306
Windows 5.1.2600 Service Pack 2

25.11.2008 18:23:14
mbam-log-2008-11-25 (18-23-14).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 139506
Laufzeit: 37 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Delete on reboot.
         
__________________

Geändert von TS1984 (25.11.2008 um 21:09 Uhr)

Alt 25.11.2008, 21:02   #4
TS1984
 
Diverse Malware ruft Adseiten auf - Standard

Diverse Malware ruft Adseiten auf



5)
logfile von silentrunners:
Code:
ATTFilter
http://www.file-upload.net/download-1276876/silentrunners.rar.html
         
6)
Combofix-log:
Code:
ATTFilter
ComboFix 08-11-24.03 - Besitzer 2008-11-25 19:48:52.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.1633 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
.

(((((((((((((((((((((((   Dateien erstellt von 2008-10-25 bis 2008-11-25  ))))))))))))))))))))))))))))))
.

2008-11-25 17:35 . 2008-11-25 17:35	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2008-11-25 17:35 . 2008-11-25 17:35	<DIR>	d--------	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2008-11-25 17:35 . 2008-11-25 17:35	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-25 17:35 . 2008-10-22 16:10	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-25 17:35 . 2008-10-22 16:10	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2008-11-25 17:15 . 2008-11-25 17:15	250	--a------	c:\windows\gmer.ini
2008-11-24 18:12 . 2008-11-24 18:12	<DIR>	d--------	c:\programme\Trend Micro
2008-11-24 15:45 . 2008-11-24 15:45	1,515,520	--a------	c:\windows\system32\iesvcmon.exe
2008-11-24 15:45 . 2008-11-24 15:45	473,088	--a------	c:\windows\gu58826.exe
2008-11-24 15:44 . 2008-11-24 15:44	78,636	--a------	c:\windows\system32\ahkzgaznstrbl.exe
2008-11-24 15:44 . 2008-11-24 15:44	53,948	--a------	c:\windows\system32\cont_globaladsolution-remove.exe
2008-11-22 17:31 . 2008-11-22 17:31	<DIR>	d--------	c:\programme\ScummVM
2008-11-21 17:35 . 1996-11-06 12:05	302,592	--a------	c:\windows\unin0407.exe
2008-11-21 17:04 . 2008-11-21 17:04	<DIR>	d--------	c:\programme\Alcohol Soft
2008-11-21 17:01 . 2008-11-21 17:01	<DIR>	d--------	c:\programme\DAEMON Tools Toolbar
2008-11-21 17:00 . 2008-11-21 17:01	<DIR>	d--------	c:\programme\DAEMON Tools Lite
2008-11-20 21:31 . 2008-11-20 21:31	<DIR>	d--------	c:\programme\CCleaner
2008-11-13 14:26 . 2008-10-24 12:10	453,632	-----c---	c:\windows\system32\dllcache\mrxsmb.sys
2008-11-04 21:07 . 2008-11-24 16:46	<DIR>	d--------	C:\Neuer Ordner
2008-10-28 18:34 . 2008-10-28 18:34	<DIR>	d--------	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\vlc
2008-10-28 18:02 . 2008-10-28 18:02	173,056	--a------	c:\windows\system32\lcorxsldtrpcn.dll
2008-10-28 17:31 . 2008-10-28 17:31	555,008	--a------	c:\windows\system32\nsx69.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-25 18:47	---------	d-----w	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\OpenOffice.org2
2008-11-25 17:26	---------	d-----w	c:\programme\ICQToolbar
2008-11-24 23:25	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2008-11-24 16:39	107,888	----a-w	c:\windows\system32\CmdLineExt.dll
2008-11-21 20:29	---------	d-----w	c:\programme\Gemeinsame Dateien\AVSMedia
2008-11-21 20:29	---------	d-----w	c:\programme\AVS4YOU
2008-11-21 16:36	---------	d-----w	c:\programme\LucasArts
2008-11-21 15:58	717,296	----a-w	c:\windows\system32\drivers\sptd.sys
2008-11-21 14:53	---------	d--h--w	c:\programme\InstallShield Installation Information
2008-11-16 15:49	---------	d-----w	c:\programme\Gemeinsame Dateien\Adobe
2008-10-28 16:38	---------	d-----w	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\dvdcss
2008-10-26 16:42	---------	d-----w	c:\programme\DivX
2008-10-24 11:10	453,632	----a-w	c:\windows\system32\drivers\mrxsmb.sys
2008-10-21 15:28	---------	d-----w	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\U3
2008-10-16 13:13	202,776	----a-w	c:\windows\system32\wuweb.dll
2008-10-16 13:13	1,809,944	----a-w	c:\windows\system32\wuaueng.dll
2008-10-16 13:12	561,688	----a-w	c:\windows\system32\wuapi.dll
2008-10-16 13:12	323,608	----a-w	c:\windows\system32\wucltui.dll
2008-10-16 13:09	92,696	----a-w	c:\windows\system32\cdm.dll
2008-10-16 13:09	51,224	----a-w	c:\windows\system32\wuauclt.exe
2008-10-16 13:09	43,544	----a-w	c:\windows\system32\wups2.dll
2008-10-16 13:08	34,328	----a-w	c:\windows\system32\wups.dll
2008-09-19 21:55	200,704	----a-w	c:\windows\system32\ssldivx.dll
2008-09-19 21:55	1,044,480	----a-w	c:\windows\system32\libdivx.dll
2008-09-15 15:37	1,846,144	----a-w	c:\windows\system32\win32k.sys
2008-09-04 16:43	1,106,944	----a-w	c:\windows\system32\msxml3.dll
2008-08-29 19:06	1,350,664	----a-w	c:\windows\system32\msxml6.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6b59562a-b48b-1b33-d996-0ea0fa10f13d}]
2008-10-28 17:31	555008	--a------	c:\windows\system32\nsx69.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D85143F4-3EBD-7E5C-EDD0-77358D937B23}]
2008-10-28 18:02	173056	--a------	c:\windows\system32\lcorxsldtrpcn.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-15 262401]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2007-02-13 35328]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-05-08 1953792]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"ykjkcfrdynw"="c:\windows\system32\lcorxsldtrpcn.dll" [2008-10-28 173056]
"iesvcmon"="c:\windows\system32\iesvcmon.exe" [2008-11-24 1515520]
"nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-12 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2007-04-06 c:\windows\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\Besitzer\Startmen\Programme\Autostart\
OpenOffice.org 2.4.lnk - c:\programme\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.ac3filter"= ac3filter.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\BearShare\\BearShare.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\LucasArts\\Star Wars Jedi Knight Jedi Academy\\GameData\\jamp.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords_PitBoss.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=

R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\DRIVERS\atl01_xp.sys [2008-03-07 38656]
S3 idrmkl;idrmkl;\??\c:\dokume~1\Besitzer\LOKALE~1\Temp\idrmkl.sys []
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;\??\c:\windows\system32\drivers\PDNMp50.sys [2006-11-28 28224]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;\??\c:\windows\system32\drivers\PDNSp50.sys [2006-11-28 27072]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c3368c3-d35d-11dc-9d94-806d6172696f}]
\Shell\AutoRun\command - E:\Install.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c3368c4-d35d-11dc-9d94-db4c8600e1c1}]
\Shell\AutoRun\command - F:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fe39b998-0b90-11dd-9807-001d60144981}]
\shell\Install\command - g:\soniqcast\Install\setup.exe

*Newly Created Service* - CATCHME
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\q14d925t.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/ig?rls=ig&hl=de&source=iglk
FF -: plugin - c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll
FF -: plugin - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-25 19:49:52
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-11-25 19:50:36
ComboFix-quarantined-files.txt  2008-11-25 18:50:29
ComboFix2.txt  2008-11-25 18:37:33

Vor Suchlauf: 17 Verzeichnis(se), 100.498.538.496 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 100,486,701,056 Bytes frei

144	--- E O F ---	2008-11-13 21:15:48
         
7)
listing-log:
Code:
ATTFilter
http://www.file-upload.net/download-1276720/listing.txt.html
         
8)
neues HJT log:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:00:32, on 25.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\iesvcmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Eigene Musik\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netcologne.de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: globaladsolution - {6b59562a-b48b-1b33-d996-0ea0fa10f13d} - C:\WINDOWS\system32\nsx69.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: globaladsolution browser enhancer - {D85143F4-3EBD-7E5C-EDD0-77358D937B23} - C:\WINDOWS\system32\lcorxsldtrpcn.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ykjkcfrdynw] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\lcorxsldtrpcn.dll"
O4 - HKLM\..\Run: [iesvcmon] "C:\WINDOWS\system32\iesvcmon.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6461 bytes
         
Hoffe, dass passt dann alles so!

Viele Grüße und Dank,

Thomas

Alt 25.11.2008, 21:12   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Diverse Malware ruft Adseiten auf - Icon32

Diverse Malware ruft Adseiten auf



Das ist schon ok, aber von GMER solltest Du die verlinkte MBR.EXE benutzen

Java verdient bei Dir auch ein Update!

Ich meld mich gleich wieder.

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 25.11.2008, 21:24   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Diverse Malware ruft Adseiten auf - Standard

Diverse Malware ruft Adseiten auf



Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
files to delete:
C:\WINDOWS\system32\iesvcmon.exe
C:\WINDOWS\system32\nsx69.dll
C:\WINDOWS\system32\lcorxsldtrpcn.dll
c:\windows\gu58826.exe
c:\windows\system32\ahkzgaznstrbl.exe
c:\windows\system32\cont_globaladsolution-remove.exe
c:\dokume~1\Besitzer\LOKALE~1\Temp\idrmkl.sys

drivers to delete:
idrmkl

Registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6b59562a-b48b-1b33-d996-0ea0fa10f13d}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D85143F4-3EBD-7E5C-EDD0-77358D937B23}
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
  • Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
__________________
--> Diverse Malware ruft Adseiten auf

Alt 25.11.2008, 22:46   #7
TS1984
 
Diverse Malware ruft Adseiten auf - Standard

Diverse Malware ruft Adseiten auf



Supervielen Dank für die schnelle Hilfe

Bei dem MBR hatte ich eine andere Version genommen, weil die verlinkte EXE sich bei mir nicht richtig geöffnet hat.

Hier das Avanger-log:

Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\iesvcmon.exe" deleted successfully.
File "C:\WINDOWS\system32\nsx69.dll" deleted successfully.
File "C:\WINDOWS\system32\lcorxsldtrpcn.dll" deleted successfully.
File "c:\windows\gu58826.exe" deleted successfully.
File "c:\windows\system32\ahkzgaznstrbl.exe" deleted successfully.
File "c:\windows\system32\cont_globaladsolution-remove.exe" deleted successfully.

Error:  file "c:\dokume~1\Besitzer\LOKALE~1\Temp\idrmkl.sys" not found!
Deletion of file "c:\dokume~1\Besitzer\LOKALE~1\Temp\idrmkl.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Driver "idrmkl" deleted successfully.
Registry key "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6b59562a-b48b-1b33-d996-0ea0fa10f13d}" deleted successfully.
Registry key "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D85143F4-3EBD-7E5C-EDD0-77358D937B23}" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         
Und hier noch das neue HJT-log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:40:13, on 25.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\COMODO\Firewall\cmdagent.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\COMODO\Firewall\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Eigene Musik\qlketzd(2).com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netcologne.de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ykjkcfrdynw] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\lcorxsldtrpcn.dll"
O4 - HKLM\..\Run: [iesvcmon] "C:\WINDOWS\system32\iesvcmon.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs:  C:\WINDOWS\system32\guard32.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\Firewall\cmdagent.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6780 bytes
         
Grüße,

Thomas

Alt 27.11.2008, 17:53   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Diverse Malware ruft Adseiten auf - Standard

Diverse Malware ruft Adseiten auf



Code:
ATTFilter
O4 - HKLM\..\Run: [ykjkcfrdynw] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\lcorxsldtrpcn.dll"
O4 - HKLM\..\Run: [iesvcmon] "C:\WINDOWS\system32\iesvcmon.exe"
         
Diese Einträgen fixen!

Code:
ATTFilter
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
         
Du möchtest umgehend das SP3, den IE7 und weitere Updates (Hotfixes, kleinere Patches nach dem Erscheinen des SP3) über die automatischen Updates installieren.

Auch Java verdient bei Dir ein Update. Du solltest Updates nicht vernachlässigen!

Mach zur Übersicht zum gegencheck bitte noch ein frisches filelisting mit der listing8.cmd und verlinke es hier.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 27.11.2008, 21:28   #9
TS1984
 
Diverse Malware ruft Adseiten auf - Standard

Diverse Malware ruft Adseiten auf



Hi,
leider weiß ich nicht, wie ich die Einträge fixen soll, muss ich einfach nur eine Datei mit dem Editor bearbeiten? Und wenn ja, welche?

Gruß,
Thomas

Alt 27.11.2008, 21:29   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Diverse Malware ruft Adseiten auf - Standard

Diverse Malware ruft Adseiten auf



Das machst Du mit Hijackthis, entnimmst Du bitte der Anleitung.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 27.11.2008, 21:54   #11
TS1984
 
Diverse Malware ruft Adseiten auf - Standard

Diverse Malware ruft Adseiten auf



Hi,
ok hab die Einträge gefixt und das file listing hochgeladen:
http://www.file-upload.net/download-1281214/listing.rar.html

Gruß,
Thomas

Alt 28.11.2008, 13:41   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Diverse Malware ruft Adseiten auf - Blinzeln

Diverse Malware ruft Adseiten auf



Das sollte okay gehen
Wenns noch Probleme gibt meld Dich wieder.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 28.11.2008, 19:08   #13
TS1984
 
Diverse Malware ruft Adseiten auf - Standard

Diverse Malware ruft Adseiten auf



Supervielen Dank für die tolle Hilfe und die Mühe, wüßte nicht was ich sonst getan hätte!

Gruß,
Thomas

Alt 01.12.2008, 17:15   #14
TS1984
 
Diverse Malware ruft Adseiten auf - Standard

Diverse Malware ruft Adseiten auf



Hi,
ich habe leider wieder ein Problem mit Malware, ich habe heute mit Malwarebytes einen Systemcheck gemacht und es wurden 6 infizierte Objekte gefunden. Da es sich um Systemdateien handelt wollte ich bevor ich die Objekte entferne wissen, ob ich dies problemlos machen kann.

Nachfolgend habe ich den Log eingefügt:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1441
Windows 5.1.2600 Service Pack 2

01.12.2008 17:02:13
mbam-log-2008-12-01 (17-02-08).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 137295
Laufzeit: 41 minute(s), 8 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\Programme\Mozilla Firefox\components\nsglobaladsolution.dll (Trojan.Agent) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\cont_globaladsolution (Adware.Agent) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Qoobox\Quarantine\C\WINDOWS\nohh06760.exe.vir (Adware.BHO) -> No action taken.
C:\System Volume Information\_restore{B82282F8-7CB2-43E9-968B-8590F6976F49}\RP2\A0000052.exe (Adware.BHO) -> No action taken.
C:\Programme\Mozilla Firefox\components\nsglobaladsolution.dll (Trojan.Agent) -> No action taken.
         
Desweiteren habe ich Probleme Service Pack 3 zu installieren, liegt wohl am Windows Updater.

Vielen Dank schonmal im Vorraus,
Thomas

Alt 01.12.2008, 17:26   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Diverse Malware ruft Adseiten auf - Ausrufezeichen

Diverse Malware ruft Adseiten auf



Hallo,

Code:
ATTFilter
Infizierte Speichermodule:
C:\Programme\Mozilla Firefox\components\nsglobaladsolution.dll (Trojan.Agent)
         
Da hat sich was direkt in den Firefox geschlichen. Es wäre wohl ratsam, wenn Du den mal komplett deinstallierst, den Firefox Ordner löscht, und dann neu installierst.

Code:
ATTFilter
C:\Qoobox\Quarantine\C\WINDOWS\nohh06760.exe.vir (Adware.BHO) -> No action taken.
         
Qoobox ist der Quatantäneordner von Combofix. Da liegen die Malwaredateien "entschärft" drin und können so ohne Weiteres keinen Schaden mehr anrichten. Qoobox kannst Du aber löschen. Nur falls versehentlich eine legitime Datei gelöscht wurde, kannst Du die aus diesem bereich wieder herausfischen und wiederherstellen am Urspungsort.

Code:
ATTFilter
C:\System Volume Information\_restore{B82282F8-7CB2-43E9-968B-8590F6976F49}\RP2\A0000052.exe (Adware.BHO)
         
#

Sollte eigentlich nicht mehr auftreten!! Oder hast Du die SWH nicht deaktiviert bzw. in der Zwischenzeit reaktiviert?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Diverse Malware ruft Adseiten auf
ad-aware, adobe, antivir, avg, avira, browser, error, explorer, fehlermeldung, firefox, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, malware, mozilla, nvidia, rundll, software, system, trojan, vielen dank, windows, windows xp



Ähnliche Themen: Diverse Malware ruft Adseiten auf


  1. IDF 2015: Intel ruft Entwickler zur Ordnung
    Nachrichten - 19.08.2015 (0)
  2. diverse Virenfunde laut AVAST (Win32:Malware-gen)
    Log-Analyse und Auswertung - 16.02.2015 (13)
  3. adfoc.us ruft unerwünschte websites auf
    Log-Analyse und Auswertung - 09.01.2015 (22)
  4. Windows 8.1: Firefox ruft falsche Internetseiten auf
    Log-Analyse und Auswertung - 05.08.2014 (2)
  5. Diverse (Viren-/Malware-)Probleme mit WinVista
    Plagegeister aller Art und deren Bekämpfung - 07.09.2013 (13)
  6. diverse Trojaner und Malware gefunden, infektion evtl. durch 22kB dateianhang
    Log-Analyse und Auswertung - 31.01.2013 (3)
  7. Diverse Systemfehler, Trojaner und Malware gefunden
    Log-Analyse und Auswertung - 21.01.2013 (14)
  8. Spyware.Zeus, Z.bot und diverse andere Malware auf PC gefunden
    Plagegeister aller Art und deren Bekämpfung - 22.09.2012 (22)
  9. Kaspersky ruft zum Knacken des Gauss-Trojaners auf
    Nachrichten - 14.08.2012 (0)
  10. Google Links leiten falsch (adseiten)
    Plagegeister aller Art und deren Bekämpfung - 13.01.2012 (6)
  11. "Malware Protection" entfernt und nun "Windows Vista Restore" und diverse Festplattenwarnungen
    Plagegeister aller Art und deren Bekämpfung - 17.06.2011 (28)
  12. Diverse Trojaner, Nicht mehr funktionsfähiges AntiVir, Windows Recovery Malware
    Log-Analyse und Auswertung - 25.04.2011 (1)
  13. TR/Dropper.Gen, TR/Crypt.XPACK.Gen, HEUR/HTML. und diverse Trojaner bei AntiVir/Malware gefunden
    Plagegeister aller Art und deren Bekämpfung - 24.03.2011 (19)
  14. Meine Bank ruft mich an...
    Log-Analyse und Auswertung - 08.07.2010 (15)
  15. Browser ruft eigentständig Internetseiten auf
    Log-Analyse und Auswertung - 05.07.2010 (5)
  16. IE ruft willkürlich Webseiten auf
    Log-Analyse und Auswertung - 31.03.2009 (11)
  17. Programm ruft selbsttätig Internetseiten auf
    Plagegeister aller Art und deren Bekämpfung - 20.05.2007 (19)

Zum Thema Diverse Malware ruft Adseiten auf - Hallo, leider habe ich gestern eine Datei geöffnet, welche offensichtlich mit Schädlingen befallen war, da beim Öffnen direkt diverse Virenwarnungen von AntiVir kamen. Die Malwarewarnungen bezogen sich konkret auf folgende - Diverse Malware ruft Adseiten auf...
Archiv
Du betrachtest: Diverse Malware ruft Adseiten auf auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.