Werbe-Popups

john.doe · 03.04.2009, 21:18

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

2.) Start => Ausführen => msconfig (eintippeln) => OK =>
Karte: Tools => Benutzerkontoschutz deaktivieren => OK

3.) Starte HJT => Do a system scan only => Markiere:

Code:

ATTFilter

O1 - Hosts: 212.117.161.104 ++w.anime-miako.to
O1 - Hosts: 212.117.161.104 ++anime-miako.to
O1 - Hosts: 212.117.161.104 ++board.anime-miako.to
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files (x86)\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files (x86)\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKLM\..\Run: [BeepReadme] "C:\ProgramData\SlowTypeType.6t8w10"
O4 - HKLM\..\Run: [Second bat creative peak] "C:\ProgramData\Active pile long.lhfqqi6"

=> Fix checked

4.) Neustart

5.) Neues HJT-Log posten.

ciao, andreas

Cantharis · 03.04.2009, 21:24

Nur mal zur Info: Die Punkte mit Anime-Miako lass ich mal drin, die hab ich manuell vor ner weile eingefügt, daher wird das problem davon kaum ausgehen, oder?^^

Die letzten beiden Punkte auf deiner Liste fehlen jetzt schon in der Liste, was heißt das?
Bevor ich was mach warte ich mal lieber auf ne Antwort^^

john.doe · 03.04.2009, 21:27

Du kannst sie ganz zum Schluss wieder reinmachen, jetzt kommen sie raus.

ciao, andreas

Cantharis · 03.04.2009, 21:35

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:34:36, on 03.04.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\soundman.exe
C:\Program Files (x86)\DAEMON Tools\daemon.exe
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O1 - Hosts: 212.117.161.104 www.anime-miako.to
O1 - Hosts: 212.117.161.104 anime-miako.to
O1 - Hosts: 212.117.161.104 board.anime-miako.to
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: GetRight IE Download Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files (x86)\GetRight\xx2gr.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files (x86)\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Gainward] C:\Windows\TBPanel.exe /A
O4 - HKLM\..\Run: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Download with GetRight - C:\Program Files (x86)\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files (x86)\GetRight\GRbrowse.htm
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~2\KASPER~1\KASPER~1.0\r3hook.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files (x86)\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files (x86)\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files (x86)\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\Windows\SysWOW64\CTsvcCDA.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - J:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - Unknown owner - C:\Windows\System32\TuneUpDefragService.exe (file missing)
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - Unknown owner - C:\Windows\System32\TUProgSt.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 7056 bytes

Hier ist die logfile, wie gesagt, die 2 letzten Punkte fehlten eben schon, aber die links die ich eingefügt habe scheint er nicht rausbekommen zu haben

john.doe · 03.04.2009, 21:53

1.) Deinstalliere:

Ad-Aware
Apple Software Update
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
Java(TM) SE Runtime Environment 6 Update 1
Navilog1 3.7.6
SUPERAntiSpyware Free Edition

2.) Erstelle ein Filelisting.

Lade die Datei File-Upload.net - listing9.bat auf deinen Desktop
Doppelklicke auf listing9.bat
Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. www.materialordner.de) hochladen und hier den Link posten.

ciao, andreas

Cantharis · 03.04.2009, 22:15

So, alles deinstalliert was du angeführt hast und Programm benutzt, datei sollte unter folgendem Link sein:

http://www.materialordner.de/brxzh7mmeQkUwzjHq1IFVZwVVBFi3Yu4.html

john.doe · 03.04.2009, 23:27

1.) Alles reinigen: http://www.trojaner-board.de/51464-a...-ccleaner.html

2.) Kaspersky Online Scan

Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten.

Kaspersky Online Scanner
- Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
- Java muss installiert, aktiv und erlaubt sein.
- Bebilderte Anleitung von sundavis.
- Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
- Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
- Die Datenschutzerklärung akzeptieren.
- Programm installieren lassen.
- Update der Signaturen installieren lassen.
- Wenn der Status "Complete" ist,
- Scan-Einstellungen (Settings) Standard lassen
- Links den Link "My Computer" anklicken.
- Scan beginnt automatisch.
- Wenn der Scan fertig ist, auf "View scan report" klicken,
- "Save report as" und Dateityp auf .txt umstellen,
- und auf dem Desktop als Kaspersky.txt speichern.
- Logdatei hier posten.
- Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.

ciao, andreas

Cantharis · 04.04.2009, 08:43

Mal ne Frage: Der haut aber nicht meine ganzen Platten als Traffic durchs netz bei den Scan, oder? Weil ich im Wohnheim wohne und somit ein recht straffes Trafficlimit hab^^°

john.doe · 04.04.2009, 13:19

Zitat:

Mal ne Frage: Der haut aber nicht meine ganzen Platten als Traffic durchs netz bei den Scan, oder? Weil ich im Wohnheim wohne und somit ein recht straffes Trafficlimit hab^^°

Ich weiß es jetzt nicht genau, aber deine Platte wird nicht ins Internet geschickt, sondern der Scanner und die Virendefinitionen lokal geladen. Das waren größenordnungsmäßig ca. 20 MB.

ciao, andreas

Cantharis · 04.04.2009, 19:02

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
Saturday, April 4, 2009
Operating System: Microsoft Windows Vista Home Premium Edition, 64-bit Service Pack 1 (build 6001)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Saturday, April 04, 2009 08:50:48
Records in database: 2008814
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
A:\
C:\
D:\
E:\
H:\
I:\
J:\
K:\
L:\

Scan statistics:
Files scanned: 372853
Threat name: 0
Infected objects: 0
Suspicious objects: 0
Duration of the scan: 09:58:43

No malware has been detected. The scan area is clean.

The selected area was scanned.

Das ist nun bei dem Scan rumgekommen

john.doe · 04.04.2009, 19:50

Wie geht es dem Rechner? Noch irgendwelche Auffälligkeiten?

1.) Alle Programme, die wir eingesetzt haben, deinstallieren/löschen.
2.) Windows Defender aktivieren
3.) Benutzerkontosteuerung aktivieren
4.) Systemwiederherstellung aktivieren

ciao, andreas

Cantharis · 04.04.2009, 20:26

Alles normal, nur wunder ich mich immer noch über die Datei unter C:\Program Data\axisname mit dem Namen fpqdpvxk, kann das noch was mit dem Problem zu tun haben? Wenn nicht deinstallier ich die ganzen Programme, auf jeden Fall schonmal danke für die Hilfe, ich hab schon befürchtet dass ich das ganze System einstampfen muss :aplaus:

john.doe · 04.04.2009, 20:35

Meine Devise ist, erst löschen, dann fragen.

Im Ordner ProgramData treiben sich noch jede Menge verdächtige Dateien herum.

ciao, andreas

Cantharis · 04.04.2009, 20:44

Ich habe alles deinstalliert und alles wovon ich nicht genau wusste was es ist in dem ordner gelöscht, hoffe dass es damit gegessen ist.

Nochmal vielen Dank für die Hilfe und Geduld, wie gesagt, alleine hätte ich keine Chance gehabt, schönen Abend noch^^

Werbe-Popups

Plagegeister aller Art und deren Bekämpfung: Werbe-Popups

Werbe-Popups

Werbe-Popups

Werbe-Popups

Werbe-Popups

Werbe-Popups

Werbe-Popups

Werbe-Popups

Werbe-Popups

Werbe-Popups

Werbe-Popups

Werbe-Popups

Werbe-Popups

Werbe-Popups

Werbe-Popups

Ähnliche Themen: Werbe-Popups

03.04.2009, 21:24	#17
Cantharis	Werbe-Popups Nur mal zur Info: Die Punkte mit Anime-Miako lass ich mal drin, die hab ich manuell vor ner weile eingefügt, daher wird das problem davon kaum ausgehen, oder?^^ Die letzten beiden Punkte auf deiner Liste fehlen jetzt schon in der Liste, was heißt das? Bevor ich was mach warte ich mal lieber auf ne Antwort^^ __________________

03.04.2009, 21:27	#18
john.doe	Werbe-Popups Du kannst sie ganz zum Schluss wieder reinmachen, jetzt kommen sie raus. ciao, andreas __________________ __________________

03.04.2009, 22:15	#21
Cantharis	Werbe-Popups So, alles deinstalliert was du angeführt hast und Programm benutzt, datei sollte unter folgendem Link sein: http://www.materialordner.de/brxzh7mmeQkUwzjHq1IFVZwVVBFi3Yu4.html

04.04.2009, 08:43	#23
Cantharis	Werbe-Popups Mal ne Frage: Der haut aber nicht meine ganzen Platten als Traffic durchs netz bei den Scan, oder? Weil ich im Wohnheim wohne und somit ein recht straffes Trafficlimit hab^^°

04.04.2009, 20:26	#27
Cantharis	Werbe-Popups Alles normal, nur wunder ich mich immer noch über die Datei unter C:\Program Data\axisname mit dem Namen fpqdpvxk, kann das noch was mit dem Problem zu tun haben? Wenn nicht deinstallier ich die ganzen Programme, auf jeden Fall schonmal danke für die Hilfe, ich hab schon befürchtet dass ich das ganze System einstampfen muss :aplaus:

04.04.2009, 20:35	#28
john.doe	Werbe-Popups Meine Devise ist, erst löschen, dann fragen. Im Ordner ProgramData treiben sich noch jede Menge verdächtige Dateien herum. ciao, andreas __________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Für alle Neuen Anleitungen Virenscanner Kompromittierung unvermeidbar?

04.04.2009, 20:44	#29
Cantharis	Werbe-Popups Ich habe alles deinstalliert und alles wovon ich nicht genau wusste was es ist in dem ordner gelöscht, hoffe dass es damit gegessen ist. Nochmal vielen Dank für die Hilfe und Geduld, wie gesagt, alleine hätte ich keine Chance gehabt, schönen Abend noch^^