Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Ständige Werbepopups ohne das der Browser offen ist?!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.01.2009, 17:30   #1
Angelwhite
 
Ständige Werbepopups ohne das der Browser offen ist?! - Unglücklich

Ständige Werbepopups ohne das der Browser offen ist?!



Hallo, ich habe seit ein paar Tagen das problem das ich ständige Popup's bekomme. Ich hatte versucht mit Ad-Aware bei zu gehen doch leider bekomme ich von dort nur eine Crash-File ausgespuckt. Welche mir also auch nicht weiter hilft. Jegliche Programme die ich versucht habe, haben nichts gebracht.
Spyware Doctor findet ihn auch, löscht ihn angeblich auch aber nach ein paar stunden ist er wieder da.
Hier vorweg einmal der HJT-Log.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:23:13, on 15.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\csrss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
D:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS.0\system32\spoolsv.exe
D:\Programme\Teamspeak2_RC2\TeamSpeak.exe
D:\Programme\Spyware Doctor\pctsAuxs.exe
D:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS.0\system32\svchost.exe
D:\Programme\Alwil Software\Avast4\ashMaiSv.exe
D:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\DSL-Manager\DslMgrSvc.exe
C:\WINDOWS.0\System32\alg.exe
C:\WINDOWS.0\System32\svchost.exe
D:\Programme\Spyware Doctor\pctsGui.exe
E:\Programme\Lavasoft\Ad-Aware\aawservice.exe
D:\Programme\T4E\Player\T4E_Player.exe
C:\WINDOWS.0\system32\taskmgr.exe
C:\WINDOWS.0\explorer.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.toggo.de/toggo.php?url=index.php
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {bda43be2-0eeb-4990-85fd-9e6704444a5d} - C:\WINDOWS.0\system32\hepozili.dll (file missing)
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS.0\system32\oodtray.exe
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ISTray] "D:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [yumukaboda] Rundll32.exe "C:\WINDOWS.0\system32\pinafadi.dll",s
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [CPMab4f3aec] Rundll32.exe "c:\windows.0\system32\hesudipi.dll",a
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized (User 'Default user')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS.0\system32\furujeze.dll xyhcrd.dll c:\windows.0\system32\hesudipi.dll
O20 - Winlogon Notify: cfefaefcbfceca - C:\WINDOWS.0\system32\cfefaefcbfceca.dll (file missing)
O20 - Winlogon Notify: gebqnfdv - geBqNfDv.dll (file missing)
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows.0\system32\hesudipi.dll
O22 - SharedTaskScheduler: jgzfkj9w38rksndfi7r4 - {C5BF49A2-94F3-42BD-F434-3604812C8955} - C:\WINDOWS.0\system32\rwhbfb873unjdfdg.dll (file missing)
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows.0\system32\hesudipi.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - E:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Unknown owner - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - D:\Programme\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Unknown owner - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS.0\system32\oodag.exe
O23 - Service: RichiStudios Shutdown (RSShutdown) - RichiStudios - C:\Programme\RichiStudios\Shutdown\service.exe
O23 - Service: PC Tools Auxiliary Service (sdauxservice) - PC Tools - D:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdcoreservice) - PC Tools - D:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\DSL-Manager\DslMgrSvc.exe

Ich hoffe ihr könnt mir nun weiter helfen.

Liebe Grüße und schonmal ein danke =)

Alt 15.01.2009, 17:44   #2
john.doe
 
Ständige Werbepopups ohne das der Browser offen ist?! - Standard

Ständige Werbepopups ohne das der Browser offen ist?!



Hallo Angelwhite und

Arbeite diese Liste ab:

1.) Deinstalliere folgende Programme (Start=>Systemsteuerung=>Programme):
Code:
ATTFilter
AdAware (Schrott)
Java (veraltet)
Spyware Doctor (Schrott)
         
2.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\WINDOWS.0\system32\pinafadi.dll
c:\windows.0\system32\hesudipi.dll
C:\WINDOWS.0\system32\furujeze.dll
c:\windows.0\system32\xyhcrd.dll
         
Sollte die Meldung kommen, dass die Dateien bereits analysiert wurden, dann klicke trotzdem auf Analysieren. Sollte sich eine Datei nicht finden lassen, so mache weiter mit der Liste.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:
HTML-Code:
[code] Hier das Logfile rein! [/code]
3.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

5.) Superantispyware laden, starten und Log posten, so wie hier beschrieben: http://www.trojaner-board.de/51871-a...tispyware.html

6.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas
__________________


Alt 15.01.2009, 18:16   #3
Angelwhite
 
Ständige Werbepopups ohne das der Browser offen ist?! - Standard

Ständige Werbepopups ohne das der Browser offen ist?!



Code:
ATTFilter
 Datei pinafadi.dll empfangen 2009.01.15 17:54:45 (CET)

	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.0.0.73	2009.01.15	-
AhnLab-V3	2009.1.15.0	2009.01.15	-
AntiVir	7.9.0.54	2009.01.15	-
Authentium	5.1.0.4	2009.01.15	-
Avast	4.8.1281.0	2009.01.15	-
AVG	8.0.0.229	2009.01.15	-
BitDefender	7.2	2009.01.15	-
CAT-QuickHeal	10.00	2009.01.15	-
ClamAV	0.94.1	2009.01.15	-
Comodo	932	2009.01.15	-
DrWeb	4.44.0.09170	2009.01.15	-
eSafe	7.0.17.0	2009.01.15	Suspicious File
eTrust-Vet	31.6.6309	2009.01.15	-
F-Prot	4.4.4.56	2009.01.15	-
F-Secure	8.0.14470.0	2009.01.15	-
Fortinet	3.117.0.0	2009.01.15	-
GData	19	2009.01.15	-
Ikarus	T3.1.1.45.0	2009.01.15	-
K7AntiVirus	7.10.584	2009.01.09	-
Kaspersky	7.0.0.125	2009.01.15	-
McAfee	5495	2009.01.14	-
McAfee+Artemis	5495	2009.01.14	-
Microsoft	1.4205	2009.01.15	-
NOD32	3769	2009.01.15	-
Norman	5.93.01	2009.01.15	W32/Virtumonde.AKDW
nProtect	2009.1.8.0	2009.01.15	-
Panda	9.5.1.2	2009.01.14	-
PCTools	4.4.2.0	2009.01.15	-
Prevx1	V2	2009.01.15	-
Rising	21.12.32.00	2009.01.15	Trojan.Win32.Nodef.uu
SecureWeb-Gateway	6.7.6	2009.01.15	-
Sophos	4.37.0	2009.01.15	-
Sunbelt	3.2.1831.2	2009.01.09	Virtumonde
Symantec	10	2009.01.15	Trojan.Vundo
TheHacker	6.3.1.4.220	2009.01.14	-
TrendMicro	8.700.0.1004	2009.01.15	-
VBA32	3.12.8.10	2009.01.14	-
ViRobot	2009.1.15.1560	2009.01.15	-
VirusBuster	4.5.11.0	2009.01.15	-
weitere Informationen
File size: 63296 bytes
MD5...: 8448fcb1bf3d8e36478cb130d80a2770
SHA1..: ec3a74982373a0a3068cfa880ad716824c0ecc62
SHA256: bd928b55321f576d115b81221062f6ecae259d0034b0bc9bf63237113b3def3a
SHA512: 17af1ec676b70929b3d423adce6855a9e29f79d02b7ab123091e75cfe5fdb053
0baf5379c49dccbe671719a5a19b7fa612d5bf167b967fe12aff8e7e77d681e7
ssdeep: 1536:tgsoTPGVZkdRU4XX3BzRixuuG26Gq2KSczky9jU:t8GVZ8RbXXRNixuuBq2
Kxky9jU
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100012b8
timedatestamp.....: 0x3ef274dc (Fri Jun 20 02:43:40 2003)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4357 0x4400 7.78 073f37949280b37836693c8f3e9e2c86
.data 0x6000 0x569b 0x5800 7.84 ef79d8e5b4ee44f141e49cd644c9cc15
.dataa 0xc000 0x3f2c 0x3c00 7.93 af2109ea38f1c45dd8c4db547b1bddd4
.rsrc 0x10000 0x1400 0x1400 3.70 ae0e37c71a396ab9cb3c5982d1531d5c
.reloc 0x12000 0xb32a 0x600 0.99 42f6aae14f296518cc8e18e1fbcb06af

( 2 imports )
> kernel32.dll: CreateFileA, FileTimeToSystemTime, GlobalDeleteAtom, HeapAlloc, HeapCreate, RaiseException, SetErrorMode, SetEvent, SetLocalTime, UpdateResourceA, VirtualAlloc, VirtualFree, lstrlenA
> user32.dll: AdjustWindowRectEx, CallNextHookEx, EndPaint, GetDesktopWindow, GetNextDlgTabItem, GetSysColor, IsDialogMessageA, IsWindow, ModifyMenuA, ReleaseCapture, ReleaseDC, TabbedTextOutA
         
Code:
ATTFilter
 Datei hesudipi.dll empfangen 2009.01.15 18:01:53 (CET)

	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.0.0.73	2009.01.15	-
AhnLab-V3	2009.1.15.0	2009.01.15	-
AntiVir	7.9.0.54	2009.01.15	-
Authentium	5.1.0.4	2009.01.15	-
Avast	4.8.1281.0	2009.01.15	-
AVG	8.0.0.229	2009.01.15	-
BitDefender	7.2	2009.01.15	-
CAT-QuickHeal	10.00	2009.01.15	-
ClamAV	0.94.1	2009.01.15	-
Comodo	932	2009.01.15	-
DrWeb	4.44.0.09170	2009.01.15	Trojan.Virtumod.1615
eSafe	7.0.17.0	2009.01.15	-
eTrust-Vet	31.6.6309	2009.01.15	-
F-Prot	4.4.4.56	2009.01.15	-
F-Secure	8.0.14470.0	2009.01.15	-
Fortinet	3.117.0.0	2009.01.15	-
GData	19	2009.01.15	-
Ikarus	T3.1.1.45.0	2009.01.15	-
K7AntiVirus	7.10.584	2009.01.09	-
Kaspersky	7.0.0.125	2009.01.15	-
McAfee	5495	2009.01.14	-
McAfee+Artemis	5495	2009.01.14	-
Microsoft	1.4205	2009.01.15	Trojan:Win32/Vundo.gen!G
NOD32	3769	2009.01.15	-
Norman	5.93.01	2009.01.15	-
nProtect	2009.1.8.0	2009.01.15	-
Panda	9.5.1.2	2009.01.14	-
PCTools	4.4.2.0	2009.01.15	-
Prevx1	V2	2009.01.15	Malicious Software
Rising	21.12.32.00	2009.01.15	-
SecureWeb-Gateway	6.7.6	2009.01.15	-
Sophos	4.37.0	2009.01.15	-
Sunbelt	3.2.1831.2	2009.01.09	Virtumonde
TheHacker	6.3.1.4.220	2009.01.14	-
TrendMicro	8.700.0.1004	2009.01.15	-
VBA32	3.12.8.10	2009.01.14	-
ViRobot	2009.1.15.1560	2009.01.15	-
VirusBuster	4.5.11.0	2009.01.15	-
weitere Informationen
File size: 127861 bytes
MD5...: f0343085c1527ac9978f0439fcc36a07
SHA1..: cae85805e924c09c5d59b9445243f043fe0dc98a
SHA256: 948db42d142bbbab8d2aa99c95a02f8301d80b2b1a00e142e0d7b240c86fda6a
SHA512: aa991ede77f6d3db5237f56d15c6fbe624bab1868ef97ef8e3ec859927b59076
1ac25e7eebbd1393c2fac0c70961321ae9859c235c16acafb377d67e7b242916
ssdeep: 3072:94BoL2Og3LGSgThLnetSDeTBfoDXViPMQO2J2e:94B6wL9gnFeTBgLka2J2
e
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10010f28
timedatestamp.....: 0x496b42cc (Mon Jan 12 13:17:00 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x13518 0x13600 6.58 ceda391468f77a9e4cc5db566990ace1
.rdata 0x15000 0x84f5 0x8600 6.07 ebb245b25eb5c40b68092357bbd838ac
.data 0x1e000 0x19fc 0xa00 5.54 89a80667132452ed72b553a21dba7358
.rsrc 0x20000 0x10 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b
.reloc 0x21000 0x259a 0x2600 4.75 b8d2c1f235e69509fb92e12fdab22bea

( 6 imports )
> msvcrt.dll: malloc, iswdigit, wcsncmp, _wcsnicmp, isdigit, strtol, wcstol, memcmp, _time64, atoi, isspace, atol, atof, strtoul, strncmp, _itoa, wcstombs, calloc, rand, srand, _unlock, __dllonexit, _lock, _onexit, __1type_info@@UAE@XZ, realloc, _XcptFilter, _initterm, _amsg_exit, _adjust_fdiv, free, _strnicmp, mbstowcs, strstr, strncpy, _wcsicmp, _purecall, __2@YAPAXI@Z, memcpy, ___U@YAPAXI@Z, memmove, ___V@YAXPAX@Z, strlen, wcslen, memset, __3@YAXPAX@Z, wcschr, _vsnwprintf, _wcslwr, _strlwr, _errno, _CxxThrowException, _except_handler3
> KERNEL32.dll: FreeLibrary, GetCommandLineW, LoadLibraryA, GetVersionExA, GetThreadLocale, GetLocaleInfoA, GetACP, GetTickCount, QueryPerformanceCounter, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, InterlockedCompareExchange, InterlockedExchange, RtlUnwind, OutputDebugStringA, OpenFileMappingW, LocalAlloc, GetCurrentThreadId, SetLastError, FlushInstructionCache, CreateFileMappingW, UnmapViewOfFile, MapViewOfFile, TerminateThread, GetShortPathNameW, GetLocaleInfoW, GetUserDefaultLCID, ResetEvent, CreateEventW, LeaveCriticalSection, GetVersionExW, EnterCriticalSection, GetSystemTimeAsFileTime, WideCharToMultiByte, InitializeCriticalSection, DeleteCriticalSection, lstrlenA, WaitForMultipleObjects, lstrcmpiW, LocalFree, lstrcpyW, ReleaseMutex, GetThreadPriority, HeapAlloc, HeapFree, GetProcessHeap, VirtualProtect, VirtualAlloc, GetProcAddress, GetModuleHandleW, GetVolumeInformationW, CreateFileW, CloseHandle, RaiseException, GetWindowsDirectoryW, OpenEventW, MoveFileExW, SetEvent, Sleep, lstrlenW, OpenProcess, VirtualFreeEx, lstrcmpiA, VirtualAllocEx, Process32FirstW, Process32NextW, CreateToolhelp32Snapshot, WriteProcessMemory, GetCurrentProcess, WaitForSingleObject, CreateRemoteThread, LoadLibraryW, DisableThreadLibraryCalls, lstrcpynW, lstrcatW, CreateThread, SetFilePointer, InterlockedIncrement, GetCurrentThread, GetCurrentProcessId, ExitProcess, InterlockedDecrement, CreateProcessW, CreateMutexW, FreeLibraryAndExitThread, GetLastError, ReadFile, SetThreadPriority, GetModuleFileNameW
> USER32.dll: IsWindow, SetWindowTextW, GetDesktopWindow, SetWindowPos, GetWindowRect, SendMessageW, DestroyIcon, GetWindowThreadProcessId, SetWindowsHookExW, CallNextHookEx, UnhookWindowsHookEx, PostMessageW, wsprintfW
> ADVAPI32.dll: ConvertStringSidToSidW, AllocateAndInitializeSid, RegCreateKeyExW, SetTokenInformation, GetLengthSid, GetSidSubAuthority, GetSidSubAuthorityCount, SetThreadToken, GetTokenInformation, SetSecurityInfo, GetSecurityDescriptorSacl, ConvertStringSecurityDescriptorToSecurityDescriptorW, RegSetKeySecurity, SetSecurityDescriptorDacl, SetEntriesInAclW, InitializeSecurityDescriptor, RegCreateKeyW, RegOpenKeyExW, CreateProcessAsUserW, GetUserNameA, DuplicateTokenEx, OpenProcessToken, AdjustTokenPrivileges, LookupPrivilegeValueW, FreeSid, RegSetValueExW, RegCloseKey, RegOpenKeyW, RegEnumKeyExW, CheckTokenMembership, RegFlushKey, RegQueryValueExW, RegDeleteValueW, RegDeleteKeyW
> ole32.dll: CoCreateInstance, CoUninitialize, CoInitialize, CoInitializeEx
> OLEAUT32.dll: -, -, -, -, -

( 3 exports )
E0D197A2_D21D_4d5c_AA5C_0CA8E3507931, a, s
         
Code:
ATTFilter
Datei furujeze.dll empfangen 2009.01.15 18:10:30 (CET)

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.0.0.73	2009.01.15	-
AhnLab-V3	2009.1.15.0	2009.01.15	-
AntiVir	7.9.0.54	2009.01.15	-
Authentium	5.1.0.4	2009.01.15	-
Avast	4.8.1281.0	2009.01.15	-
AVG	8.0.0.229	2009.01.15	-
BitDefender	7.2	2009.01.15	-
CAT-QuickHeal	10.00	2009.01.15	-
ClamAV	0.94.1	2009.01.15	-
Comodo	932	2009.01.15	-
DrWeb	4.44.0.09170	2009.01.15	-
eSafe	7.0.17.0	2009.01.15	Suspicious File
eTrust-Vet	31.6.6309	2009.01.15	-
F-Prot	4.4.4.56	2009.01.15	-
F-Secure	8.0.14470.0	2009.01.15	-
Fortinet	3.117.0.0	2009.01.15	-
GData	19	2009.01.15	-
Ikarus	T3.1.1.45.0	2009.01.15	-
K7AntiVirus	7.10.584	2009.01.09	-
Kaspersky	7.0.0.125	2009.01.15	-
McAfee	5495	2009.01.14	-
McAfee+Artemis	5495	2009.01.14	-
Microsoft	1.4205	2009.01.15	-
NOD32	3769	2009.01.15	-
Norman	5.93.01	2009.01.15	W32/Virtumonde.AKDW
nProtect	2009.1.8.0	2009.01.15	-
Panda	9.5.1.2	2009.01.14	-
PCTools	4.4.2.0	2009.01.15	-
Prevx1	V2	2009.01.15	Malicious Software
Rising	21.12.32.00	2009.01.15	Trojan.Win32.Nodef.uu
SecureWeb-Gateway	6.7.6	2009.01.15	-
Sophos	4.37.0	2009.01.15	-
Sunbelt	3.2.1831.2	2009.01.09	Virtumonde
Symantec	10	2009.01.15	Trojan.Vundo
TheHacker	6.3.1.4.220	2009.01.14	-
TrendMicro	8.700.0.1004	2009.01.15	-
VBA32	3.12.8.10	2009.01.14	-
ViRobot	2009.1.15.1560	2009.01.15	-
VirusBuster	4.5.11.0	2009.01.15	-
weitere Informationen
File size: 63296 bytes
MD5...: 8448fcb1bf3d8e36478cb130d80a2770
SHA1..: ec3a74982373a0a3068cfa880ad716824c0ecc62
SHA256: bd928b55321f576d115b81221062f6ecae259d0034b0bc9bf63237113b3def3a
SHA512: 17af1ec676b70929b3d423adce6855a9e29f79d02b7ab123091e75cfe5fdb053
0baf5379c49dccbe671719a5a19b7fa612d5bf167b967fe12aff8e7e77d681e7
ssdeep: 1536:tgsoTPGVZkdRU4XX3BzRixuuG26Gq2KSczky9jU:t8GVZ8RbXXRNixuuBq2
Kxky9jU
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100012b8
timedatestamp.....: 0x3ef274dc (Fri Jun 20 02:43:40 2003)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4357 0x4400 7.78 073f37949280b37836693c8f3e9e2c86
.data 0x6000 0x569b 0x5800 7.84 ef79d8e5b4ee44f141e49cd644c9cc15
.dataa 0xc000 0x3f2c 0x3c00 7.93 af2109ea38f1c45dd8c4db547b1bddd4
.rsrc 0x10000 0x1400 0x1400 3.70 ae0e37c71a396ab9cb3c5982d1531d5c
.reloc 0x12000 0xb32a 0x600 0.99 42f6aae14f296518cc8e18e1fbcb06af

( 2 imports )
> kernel32.dll: CreateFileA, FileTimeToSystemTime, GlobalDeleteAtom, HeapAlloc, HeapCreate, RaiseException, SetErrorMode, SetEvent, SetLocalTime, UpdateResourceA, VirtualAlloc, VirtualFree, lstrlenA
> user32.dll: AdjustWindowRectEx, CallNextHookEx, EndPaint, GetDesktopWindow, GetNextDlgTabItem, GetSysColor, IsDialogMessageA, IsWindow, ModifyMenuA, ReleaseCapture, ReleaseDC, TabbedTextOutA

( 0 exports )
         
Code:
ATTFilter
0 bytes size received / Se ha recibido un archivo vacio
         
So das waren alle 4 datein wenn ich richtig gezählt habe

Edit: Malwarebite lässt sich nicht installieren
Blacklight findet auch nichts

Edit2: SuperAntispyware.com gibt beim starten folgenden Fehler raus: Unable to locate SUPERAntiSpyware program files.

Da bekommt man ja graue haare bei
__________________

Geändert von Angelwhite (15.01.2009 um 18:30 Uhr) Grund: doppelpost vermeiden :)

Alt 15.01.2009, 18:31   #4
john.doe
 
Ständige Werbepopups ohne das der Browser offen ist?! - Standard

Ständige Werbepopups ohne das der Browser offen ist?!



Zitat:
Malwarebite lässt sich nicht installieren
Schlecht. Kommt eine Fehlermeldung oder passiert einfach nichts? Falls eine Fehlermeldung kommt, dann bitte den genauen Text posten.
Zitat:
Blacklight findet auch nichts
Das ist gut.

GMER - Rootkit Detection
  • Lade GMER von hier
  • entpacke es auf den Dektop
  • Doppelklick auf gmer.exe
  • Der Reiter Rootkit oben ist schon angewählt
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. www.file-upload.net hoch und poste den Link.
  • Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas

Alt 15.01.2009, 18:34   #5
Angelwhite
 
Ständige Werbepopups ohne das der Browser offen ist?! - Standard

Ständige Werbepopups ohne das der Browser offen ist?!



Zitat:
Zitat von john.doe Beitrag anzeigen
Schlecht. Kommt eine Fehlermeldung oder passiert einfach nichts? Falls eine Fehlermeldung kommt, dann bitte den genauen Text posten.
Da passiert garnichts, er wird zwar unter den Prozessen im Task-Manager gestartet aber sonst tut sich weiter nichts.


Alt 15.01.2009, 18:36   #6
john.doe
 
Ständige Werbepopups ohne das der Browser offen ist?! - Standard

Ständige Werbepopups ohne das der Browser offen ist?!



Mache mit GMER weiter. Irgendetwas versteckt sich.

ciao, andreas

Alt 15.01.2009, 18:42   #7
Angelwhite
 
Ständige Werbepopups ohne das der Browser offen ist?! - Standard

Ständige Werbepopups ohne das der Browser offen ist?!



Desweiten habe ich die mal 2 screens gemacht also irgendwas will mich hier ärgen





Das 2 ist mal wieder eine dieser Antivirus runterlade aktionen wo ich sowieso immer auf abbrechen klicke

Alt 15.01.2009, 18:45   #8
john.doe
 
Ständige Werbepopups ohne das der Browser offen ist?! - Standard

Ständige Werbepopups ohne das der Browser offen ist?!



Versuch mal Folgendes:

Start => Ausführen => devmgmt.msc eingeben und [Enter] drücken
Menüzeile: Ansicht => Ausgeblendete Geräte anzeigen => Nicht-PNP-Treiber

Dort alle Treiber, die mit ADS oder TDS beginnen (vermutlich ist es TDSSserv.sys) deaktivieren
=> Rechner neustarten

ciao, andreas

Alt 15.01.2009, 18:51   #9
Angelwhite
 
Ständige Werbepopups ohne das der Browser offen ist?! - Standard

Ständige Werbepopups ohne das der Browser offen ist?!



Also entweder ist mein Windows schrott oder ich kann nicht gucken aber keines von beiden vorhanden. Könnte es noch was anderes sein hier mal die Nicht PnP-Treiber.


Alt 15.01.2009, 18:57   #10
john.doe
 
Ständige Werbepopups ohne das der Browser offen ist?! - Standard

Ständige Werbepopups ohne das der Browser offen ist?!



Start => Einstellungen => Systemsteuerung => Benutzerkonten

Die Konten sind unten rechts. Was steht unter deinem Anmeldenamen?

ciao, andreas

Alt 15.01.2009, 18:58   #11
Angelwhite
 
Ständige Werbepopups ohne das der Browser offen ist?! - Standard

Ständige Werbepopups ohne das der Browser offen ist?!



Habe hier administrator Rechte deswegen wundert mich das ganze etwas

Alt 15.01.2009, 19:00   #12
john.doe
 
Ständige Werbepopups ohne das der Browser offen ist?! - Standard

Ständige Werbepopups ohne das der Browser offen ist?!



Benenne gmer.exe um in asdf.com und versuche es noch einmal.

ciao, andreas

Alt 15.01.2009, 19:13   #13
Angelwhite
 
Ständige Werbepopups ohne das der Browser offen ist?! - Standard

Ständige Werbepopups ohne das der Browser offen ist?!



Nach der umbenennung ging es hier der Log-File

Also da ich denke das die einträge alle nicht grade gutmütig sind muss ich doch ganz schön schlucken. Wo zum teufel kommt das her...?

Code:
ATTFilter
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-01-15 19:12:43
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

Code            86C886E0                                                                                 ZwEnumerateKey
Code            86C883C8                                                                                 ZwFlushInstructionCache
Code            F59EF480                                                                                 pIofCallDriver

---- Kernel code sections - GMER 1.0.14 ----

PAGE            ntoskrnl.exe!ZwEnumerateKey                                                              8056F76A 5 Bytes  JMP 86C886E4 
PAGE            ntoskrnl.exe!ZwFlushInstructionCache                                                     805769AB 5 Bytes  JMP 86C883CC 
?               ikfilesec.sys                                                                            Das System kann die angegebene Datei nicht finden. !
?               system32\drivers\iksysflt.sys                                                            Das System kann den angegebenen Pfad nicht finden. !
?               system32\drivers\KCOM.SYS                                                                Das System kann den angegebenen Pfad nicht finden. !
?               system32\drivers\iksyssec.sys                                                            Das System kann den angegebenen Pfad nicht finden. !
.text           tcpip.sys!IPTransmit + 10B7                                                              F5985CFA 6 Bytes  CALL F739B200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text           tcpip.sys!IPTransmit + 24D9                                                              F598711C 6 Bytes  CALL F739B200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text           tcpip.sys!IPTransmit + 4662                                                              F59892A5 6 Bytes  CALL F739B200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text           wanarp.sys                                                                               F70083FD 7 Bytes  CALL F739B350 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
?               C:\WINDOWS.0\System32\drivers\5fdded8.sys                                                Das System kann die angegebene Datei nicht finden. !
?               C:\WINDOWS.0\system32\Drivers\mchInjDrv.sys                                              Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text           C:\Dokumente und Einstellungen\Cloe\Desktop\asdf.com[168] kernel32.dll!FreeLibrary + 15  7C80AA7B 4 Bytes  [ BD, 55, EF, F4 ]
.text           C:\WINDOWS.0\explorer.exe[336] kernel32.dll!FreeLibrary + 15                             7C80AA7B 4 Bytes  [ BD, 55, EF, F4 ]
.text           C:\Programme\MSN Messenger\usnsvc.exe[640] kernel32.dll!FreeLibrary + 15                 7C80AA7B 4 Bytes  [ BD, 55, EF, F4 ]
.text           C:\Programme\DSL-Manager\DslMgrSvc.exe[1300] kernel32.dll!FreeLibrary + 15               7C80AA7B 4 Bytes  [ BD, 55, EF, F4 ]
.text           C:\WINDOWS.0\System32\svchost.exe[1372] kernel32.dll!FreeLibrary + 15                    7C80AA7B 4 Bytes  [ BD, 55, EF, F4 ]
.text           ...                                                                                      
.text           C:\Programme\MSN Messenger\msnmsgr.exe[2020] kernel32.dll!SetUnhandledExceptionFilter    7C810386 5 Bytes  JMP 004DE392 C:\Programme\MSN Messenger\msnmsgr.exe (Messenger/Microsoft Corporation)
.text           C:\WINDOWS.0\system32\mmc.exe[2100] kernel32.dll!FreeLibrary + 15                        7C80AA7B 4 Bytes  [ BD, 55, EF, F4 ]
.text           C:\PROGRA~1\MOZILL~1\FIREFOX.EXE[2480] kernel32.dll!FreeLibrary + 15                     7C80AA7B 4 Bytes  [ BD, 55, EF, F4 ]
.text           C:\PROGRA~1\MOZILL~1\FIREFOX.EXE[2480] kernel32.dll!ExitProcess                          7C81CAA2 5 Bytes  JMP 003A2629 c:\windows.0\system32\hesudipi.dll
.text           C:\PROGRA~1\MOZILL~1\FIREFOX.EXE[2480] WS2_32.dll!connect                                71A1406A 5 Bytes  JMP 003A2C54 c:\windows.0\system32\hesudipi.dll
.text           C:\WINDOWS.0\System32\alg.exe[2912] kernel32.dll!FreeLibrary + 15                        7C80AA7B 4 Bytes  [ BD, 55, EF, F4 ]
.text           C:\WINDOWS.0\system32\taskmgr.exe[3708] kernel32.dll!FreeLibrary + 15                    7C80AA7B 4 Bytes  [ BD, 55, EF, F4 ]

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter]                      [F739BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter]                       [F739BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol]                [F739BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol]                  [F739BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                 [F739BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                      [F739BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]                     [F739BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]               [F739BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]                 [F739BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]                   [F739BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                        [F739BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                       [F739BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                  [F739BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                      [F739BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                       [F739BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                [F739BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                        [F739BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]                    [F739BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                         [F739BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                 [F739BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                   [F739BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                        [F739BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                       [F739BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]                  [F739BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]                [F739BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]                      [F739BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]                       [F739BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

---- Devices - GMER 1.0.14 ----

Device          \FileSystem\Ntfs \Ntfs                                                                   5fdded8.sys

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                   aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                 wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                 aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                 5fdded8.sys

Device          \Driver\aswTdi \Device\AswUdpFilter                                                      wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device          \Driver\aswTdi \Device\AswUdpFilter                                                      5fdded8.sys

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                5fdded8.sys

Device          \Driver\aswTdi \Device\ASWTDI                                                            wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device          \Driver\aswTdi \Device\ASWTDI                                                            5fdded8.sys
Device          \Driver\aswTdi \Device\AswTcpFilter                                                      wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device          \Driver\aswTdi \Device\AswTcpFilter                                                      5fdded8.sys

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                5fdded8.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                              wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                              aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                              5fdded8.sys

---- Modules - GMER 1.0.14 ----

Module          \systemroot\system32\drivers\UACqqjkvdyu.sys (*** hidden *** )                           F59ED000-F5A01000 (81920 bytes)                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  

---- Services - GMER 1.0.14 ----

Service         C:\WINDOWS.0\System32\drivers\5fdded8.sys (*** hidden *** )                              [SYSTEM] 5fdded8                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  <-- ROOTKIT !!!
Service         C:\WINDOWS.0\system32\drivers\UACqqjkvdyu.sys (*** hidden *** )                          [SYSTEM] UACd.sys                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                 <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\5fdded8@ImagePath                                 \SystemRoot\System32\drivers\5fdded8.sys
Reg             HKLM\SYSTEM\CurrentControlSet\Services\5fdded8@Type                                      1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\5fdded8@Start                                     1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\5fdded8@ErrorControl                              1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys                                          
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@start                                    1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@type                                     1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@imagepath                                \systemroot\system32\drivers\UACqqjkvdyu.sys
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@group                                    file system
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules                                  
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACd                             \\?\globalroot\systemroot\system32\drivers\UACqqjkvdyu.sys
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACc                             \\?\globalroot\systemroot\system32\UACdupqoiyq.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacsr                            \\?\globalroot\systemroot\system32\UACxwbikmap.dat
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uaclog                           \\?\globalroot\systemroot\system32\UACxfaqgomy.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacmask                          \\?\globalroot\systemroot\system32\UACjryrrfvs.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacbbr                           \\?\globalroot\systemroot\system32\UAClvucublh.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACproc                          \\?\globalroot\systemroot\system32\UACwigitamp.log
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacurls                          \\?\globalroot\systemroot\system32\UACcyuekars.log
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacerrors                        \\?\globalroot\systemroot\system32\UACwtmxelta.log
Reg             HKLM\SYSTEM\ControlSet004\Services\5fdded8@ImagePath                                     \SystemRoot\System32\drivers\5fdded8.sys
Reg             HKLM\SYSTEM\ControlSet004\Services\5fdded8@Type                                          1
Reg             HKLM\SYSTEM\ControlSet004\Services\5fdded8@Start                                         1
Reg             HKLM\SYSTEM\ControlSet004\Services\5fdded8@ErrorControl                                  1
Reg             HKLM\SYSTEM\ControlSet004\Services\UACd.sys                                              
Reg             HKLM\SYSTEM\ControlSet004\Services\UACd.sys@start                                        1
Reg             HKLM\SYSTEM\ControlSet004\Services\UACd.sys@type                                         1
Reg             HKLM\SYSTEM\ControlSet004\Services\UACd.sys@imagepath                                    \systemroot\system32\drivers\UACqqjkvdyu.sys
Reg             HKLM\SYSTEM\ControlSet004\Services\UACd.sys@group                                        file system
Reg             HKLM\SYSTEM\ControlSet004\Services\UACd.sys\modules                                      
Reg             HKLM\SYSTEM\ControlSet004\Services\UACd.sys\modules@UACd                                 \\?\globalroot\systemroot\system32\drivers\UACqqjkvdyu.sys
Reg             HKLM\SYSTEM\ControlSet004\Services\UACd.sys\modules@UACc                                 \\?\globalroot\systemroot\system32\UACdupqoiyq.dll
Reg             HKLM\SYSTEM\ControlSet004\Services\UACd.sys\modules@uacsr                                \\?\globalroot\systemroot\system32\UACxwbikmap.dat
Reg             HKLM\SYSTEM\ControlSet004\Services\UACd.sys\modules@uaclog                               \\?\globalroot\systemroot\system32\UACxfaqgomy.dll
Reg             HKLM\SYSTEM\ControlSet004\Services\UACd.sys\modules@uacmask                              \\?\globalroot\systemroot\system32\UACjryrrfvs.dll
Reg             HKLM\SYSTEM\ControlSet004\Services\UACd.sys\modules@uacbbr                               \\?\globalroot\systemroot\system32\UAClvucublh.dll
Reg             HKLM\SYSTEM\ControlSet004\Services\UACd.sys\modules@UACproc                              \\?\globalroot\systemroot\system32\UACwigitamp.log
Reg             HKLM\SYSTEM\ControlSet004\Services\UACd.sys\modules@uacurls                              \\?\globalroot\systemroot\system32\UACcyuekars.log
Reg             HKLM\SYSTEM\ControlSet004\Services\UACd.sys\modules@uacerrors                            \\?\globalroot\systemroot\system32\UACwtmxelta.log
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System                                    
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System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

---- EOF - GMER 1.0.14 ----
         
Hier dazu die Passende Meldung:

Alt 15.01.2009, 19:30   #14
john.doe
 
Ständige Werbepopups ohne das der Browser offen ist?! - Standard

Ständige Werbepopups ohne das der Browser offen ist?!



Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Files to delete:
C:\WINDOWS.0\system32\drivers\UACqqjkvdyu.sys
C:\WINDOWS.0\system32\drivers\UACd.sys
C:\WINDOWS.0\system32\UACdupqoiyq.dll
C:\WINDOWS.0\system32\UACxwbikmap.dat
C:\WINDOWS.0\system32\UACxfaqgomy.dll
C:\WINDOWS.0\system32\UACjryrrfvs.dll
C:\WINDOWS.0\system32\UAClvucublh.dll
C:\WINDOWS.0\system32\UACwigitamp.log
C:\WINDOWS.0\system32\UACcyuekars.log
C:\WINDOWS.0\system32\UACwtmxelta.log
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Alt 15.01.2009, 19:43   #15
Angelwhite
 
Ständige Werbepopups ohne das der Browser offen ist?! - Standard

Ständige Werbepopups ohne das der Browser offen ist?!



Code:
ATTFilter
*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "UACd.sys" found!
ImagePath:  \systemroot\system32\drivers\UACqqjkvdyu.sys 
Start Type:  1 (System)

Rootkit scan completed.

File "C:\WINDOWS.0\system32\drivers\UACqqjkvdyu.sys" deleted successfully.

Error:  file "C:\WINDOWS.0\system32\drivers\UACd.sys" not found!
Deletion of file "C:\WINDOWS.0\system32\drivers\UACd.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\WINDOWS.0\system32\UACdupqoiyq.dll" deleted successfully.
File "C:\WINDOWS.0\system32\UACxwbikmap.dat" deleted successfully.
File "C:\WINDOWS.0\system32\UACxfaqgomy.dll" deleted successfully.
File "C:\WINDOWS.0\system32\UACjryrrfvs.dll" deleted successfully.
File "C:\WINDOWS.0\system32\UAClvucublh.dll" deleted successfully.
File "C:\WINDOWS.0\system32\UACwigitamp.log" deleted successfully.

Error:  file "C:\WINDOWS.0\system32\UACcyuekars.log" not found!
Deletion of file "C:\WINDOWS.0\system32\UACcyuekars.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS.0\system32\UACwtmxelta.log" not found!
Deletion of file "C:\WINDOWS.0\system32\UACwtmxelta.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
         
Hier der Log

Antwort

Themen zu Ständige Werbepopups ohne das der Browser offen ist?!
ad-aware, adobe, antivirus, avast, avast!, bho, browser, down, excel, explorer, firewall, hijack, hijackthis, internet, internet explorer, magix, outlook express, popup, problem, programme, rundll, security, server, software, system, teamspeak, windows, windows xp



Ähnliche Themen: Ständige Werbepopups ohne das der Browser offen ist?!


  1. Windows 8: Ständige Werbepopups
    Log-Analyse und Auswertung - 19.11.2015 (3)
  2. iexplore.exe virus und ständige browser Abstürze
    Plagegeister aller Art und deren Bekämpfung - 09.08.2015 (7)
  3. Windows 8.1 ständige Werbung im I-Net unabhängig vom Browser
    Log-Analyse und Auswertung - 05.08.2015 (9)
  4. Browser - ständige Werbetabs werden geöffnet
    Log-Analyse und Auswertung - 19.01.2015 (5)
  5. Ständige Werbepopups - Vermutlich Trojaner eingefangen?
    Plagegeister aller Art und deren Bekämpfung - 08.08.2014 (16)
  6. TOSHIBA SATELLITE - ständige Übertemperaturanzeige ohne Übertemperatur - Fritzbox 7050 geht nicht mehr
    Plagegeister aller Art und deren Bekämpfung - 09.05.2014 (24)
  7. Langsamer Browser und ständige Werbung
    Log-Analyse und Auswertung - 04.01.2014 (23)
  8. DealPly und Co. entfernt aber immer noch seltsame Werbepopups im Chrome Browser
    Plagegeister aller Art und deren Bekämpfung - 22.09.2013 (15)
  9. Sporadische weiterleitungen bei Seitenaufrufe mit Browser, ständige Firefoxabstürze
    Log-Analyse und Auswertung - 18.06.2013 (12)
  10. Musik im Hintergrund wenn Browser offen ist WIN7
    Plagegeister aller Art und deren Bekämpfung - 18.03.2013 (19)
  11. ständige werbepopups bei Firefox
    Plagegeister aller Art und deren Bekämpfung - 29.12.2012 (2)
  12. Internet Explorer öffnet immer werbung ohne das es offen ist
    Plagegeister aller Art und deren Bekämpfung - 20.01.2011 (7)
  13. ständige Angriffe in Firefox 3.6.10 und T-Com Browser 6.0
    Plagegeister aller Art und deren Bekämpfung - 16.07.2010 (19)
  14. Adobe Shockwave Player: Ohne Updates offen wie ein Scheunentor
    Nachrichten - 12.05.2010 (0)
  15. Es öffnen sich einfach so Werbepopups ohne das Iexplorer offen ist.
    Log-Analyse und Auswertung - 17.07.2008 (0)
  16. Ständige Werbung-ohne klicken!(Internet Explorer)
    Log-Analyse und Auswertung - 01.07.2008 (1)
  17. Ständige Pop UPS, auch im Mozilla Browser. -> HijackThis Logfile
    Log-Analyse und Auswertung - 28.11.2007 (2)

Zum Thema Ständige Werbepopups ohne das der Browser offen ist?! - Hallo, ich habe seit ein paar Tagen das problem das ich ständige Popup's bekomme. Ich hatte versucht mit Ad-Aware bei zu gehen doch leider bekomme ich von dort nur eine - Ständige Werbepopups ohne das der Browser offen ist?!...
Archiv
Du betrachtest: Ständige Werbepopups ohne das der Browser offen ist?! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.