| |
| |||||||
Log-Analyse und Auswertung: Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter VerdachtWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
06.07.2010, 00:48
| #1 |
 |  Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht Hallo, nachdem ich letzte Woche erste Probleme an meinem PC feststellte, bin ich auf dieses Forum gestoßen, in dem User die gleichen Symptome schilderten. Ich hatte gehofft mit der entsprechenden Software das Problem zu lösen, aber ich bin wohl gescheitert. Was war passiert? Seit Mittwoch letzter Woche öffneten sich im Explorer ohne mein Zutun neue Fenster mit Werbung. Quasi pro Explorer-Sitzung einmal. Die Seiten hießen, soweit ich mitprotokolliert habe: h**p://iwbale.net/webhp/ h**p://iwbale.net/webhp/ h**p://tumaskate.com/nte/rfx.py h**p://safe-monitoring-4.in/11/ h**p://www.edeka.de/EDEKA/Content/Unterhaltung/WMWelt/index.html h**p://iwbale.net/img/ h**p://iwbale.net/img/ h**p://safe-monitoring-6.in/phpbb/image/index.php?ID=19834&fb=WVRveU9udHpPamc2SW5WelpYSmtZWFJoSWp0aE9qTTZlM002TWpvaWFXUWlPM002TmpvaU1UWTFOelUySWp0ek9qRXlPaUpoWkhabGNuUnBjMlZmYVdRaU8zTTZOam9p TVRBMk16WTVJanR6T2pRNkltdHdjR2tpTzA0N2ZYTTZNem9pYldRMUlqdHpPak15T2lJMk9XUmtNRFUyWm1VM05tTmhOMll4TlRNeVptSTNZVEptWkRNNU5USTFZeUk3ZlE9PQ%3D%3D Das war zwar nervig und antivir wie auch spybot konnte die Ursache nicht finden, aber meine Zeit ließ einen Eintrag hier nicht zu. Am Samstag dann jedoch die nächste Eskalationsstufe. Nach dem Wegklicken der „safe-monitoring“ Seite stand der PC – nichts ging mehr. „Steckerziehen“, neu hochfahren, „Active Desktop wiederherstellen?“. Noch nie gehört. Die Viren und Malware-Programme funktionierten nicht mehr bzw. nach 30 Sekunden stand der ganze PC. Zig mal neugestartet, in einer konstatierten Rettungsaktion noch schnell alle wichtigen Daten auf den USB-Stick kopiert und dann noch mal hier nachgelesen. Inzwischen habe ich mit Malwarebytes, SuperAntiSpy und AntiVir mehrere Durchläufe gemacht und dabei wohl den Trojaner cleansweep ausfindig gemacht und gelöscht. Seitdem scheinen die Fehler behoben. So dachte ich bis eben. Nachdem ich Java neuinstalliert habe, dieses hatte ich genauso wie den AdobeReader erstmal deinstalliert, sind inzwischen schon zweimal neue Seiten aufgepoppt. Einmal die "safe-monitoring" Geschichte und einmal: h**p://belgianlove.org/?xurl=hxxp://mfeed.in/XvU1HCXx5F5Xr7u1187e13ce704db17f341d30bfb3c2739738k&xref=hxxp://belgianlove.org/result.php?Keywords=Trojaner-Board&r=bd84c5462e98a52053896cc742b9c31a4644ed968c09b51f86f30cad46845690283aa0d900843c7fe8370176843fc4cb&Submit=Go was ich merkwürdig finde, da ich von eurem Board da hin reffered werde. Insegesamt fällt mir als Auslöser retrospektiv ein, dass ich anfang letzter Woche nach dem Neustart die Info erhielt, ich müsste mein Windows XP neuregistrieren, weil die Hardware sich wohl verändert hätte. Ich hatte eigentlich nichts neu installiert, aber klickte, vielleicht blöderweise, auf "jetzt neu aktivieren". Dann verschwand dieses Key-Symbol, was einen nach Windowsneuinstallation immer an die Registrierung erinnert, auch sofort. Die LogDatei von Malwarebytes als der Trojaner eleminiert wurde, sah so aus: Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4262
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
03.07.2010 12:37:10
mbam-log-2010-07-03 (12-37-10).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 126996
Laufzeit: 7 Minute(n), 25 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
C:\cleansweep.exe (Trojan.Agent) -> Delete on reboot.
Infizierte Dateien:
C:\cleansweep.exe\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4274
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
04.07.2010 17:35:15
mbam-log-2010-07-04 (17-35-15).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 245413
Laufzeit: 52 Minute(n), 15 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\pdfupd.exe (Trojan.Dropper.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WDBIYMVE\update[1].exe (Trojan.Dropper.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D97B6483-E292-4A6B-8210-C59EBD29F4A5}\RP86\A0011748.exe (Trojan.Dropper.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D97B6483-E292-4A6B-8210-C59EBD29F4A5}\RP86\A0013784.exe (Trojan.Dropper.Gen) -> Quarantined and deleted successfully.
Die aktuellen, ganz frischen, Logs lauten: HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:45:43, on 05.07.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe E:\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE E:\Adobe Photo Shop\PhotoshopElementsFileAgent.exe E:\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe E:\Alcohol 120\StarWind\StarWindServiceAE.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555 R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - hxxp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O20 - Winlogon Notify: !SASWinLogon - E:\SuperAntiSpyware\SASWINLO.DLL O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - E:\Adobe Photo Shop\PhotoshopElementsFileAgent.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - E:\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Avira\AntiVir Desktop\avguard.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe O23 - Service: SoundMovieServer - SoundMovieServer - C:\WINDOWS\system32\snmvtsvc.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - E:\Alcohol 120\StarWind\StarWindServiceAE.exe -- End of file - 4614 bytes Malwarebytes Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4280
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
05.07.2010 23:38:09
mbam-log-2010-07-05 (23-38-09).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 249372
Laufzeit: 46 Minute(n), 55 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com
Generated 07/06/2010 at 00:53 AM
Application Version : 4.40.1002
Core Rules Database Version : 5155
Trace Rules Database Version: 2967
Scan type : Complete Scan
Total Scan Time : 00:28:21
Memory items scanned : 512
Memory threats detected : 0
Registry items scanned : 7487
Registry threats detected : 3
File items scanned : 22777
File threats detected : 0
Disabled.SecurityCenterOption
HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER#ANTIVIRUSDISABLENOTIFY
HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER#FIREWALLDISABLENOTIFY
HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER#UPDATESDISABLENOTIFY
Geändert von OSAS (06.07.2010 um 01:25 Uhr) |
| Themen zu Werbung öffnet sich automatisch, cleansweep und wmiapsrv.exe unter Verdacht |
| active desktop, anfang, antivir, antivir guard, avira, bho, desktop, einstellungen, excel, explorer, fehler, gupdate, hijack, hijackthis, hkus\s-1-5-18, logfile, malwarebytes' anti-malware, neue seite, neustart, plug-in, rundll, sekunden, sich automatisch, software, superantispyware, symantec, system, temp, trojaner, trojaner-board, viren, werbung, windows, windows xp, öffnet sich automatisch |
Baum-Darstellung