Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Popups und gelbes Warndreieck (https://www.trojaner-board.de/16255-popups-gelbes-warndreieck.html)

Till 05.04.2005 14:14
Die Popups kommen immer noch; so in 20 Minuten-Abständen. Ist zwar jetzt nicht besonders schlimm, nervt aber schon immer noch irgendwas draufzuhaben. Hab jetzt noch mal mit dem neuesten HiJack This ein Log gemacht:

Logfile of HijackThis v1.99.1
Scan saved at 15:16:07, on 05.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\Ittermann\Desktop\Virenkiller\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .avi: C:\PROGRA~1\Netscape\COMMUN~1\Program\PLUGINS\npavi32.dll
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

Das Fenster geht auf egal ob ich online bin oder nicht; nur das wenn offline natürlich keine Seite erscheint.

rock 05.04.2005 14:27
und wenn du dir einen popupstopper nimmst...google toolbar oder irgendeinen...alle haben popupblocker dabei...

1 kannst du dennoch machen:
schliese den browser, lösche temporäre internetfiles incl.offlineinhalte!

leere den inhalt des ordners TEMP. (dann den papierkorb)

somit sollte jeglicher temporäre unrat entfernt sein.

FancyAndy 05.04.2005 14:28
Schickst Du mir mal bitte die

C:\WINNT\system32\internat.exe
und
C:\Programme\Winamp\winampa.exe

als gezippte oder gerarte Datei mit PW an guide-alby(at)gmx.de ?????

Ich schaue mir da mal was an,

Gruß
Andy

Gigamail 05.04.2005 15:04
@ till

lasse doch bitte die folgende Datei C:\WINNT\system32\internat.exe
hier online scannen und teile das Ergebnis mit

Till 05.04.2005 15:07
Zitat:
Zitat von Gigamail
@ till

lasse doch bitte die folgende Datei C:\WINNT\system32\internat.exe
hier online scannen und teile das Ergebnis mit
Es wurde nichts gefunden.

Gigamail 05.04.2005 15:24
hatte ich eigentlich auch vermutet
Zitat:
internat.exe --> Description: Language selection icon in system tray
also ich kann in deinem log nichts mehr sehen, ich würde jetzt nochmal einen escan vorschlagen. halte dich genau an die Beschreibung. haken setzen bei All local Drives und All Scan Files

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

charlie1 05.04.2005 15:36
Dann dürfte es eigentlich nicht von Lydra sein, was ich erst dachte.
LG, Charlie

FancyAndy 05.04.2005 16:51
@Gigamail

Er hat sie auch mir eingesendet, auch ich habe nix gefunden.... :dummguck:

Nun kann man mehr oder minder nach dem Ausschlußverfahren arbeiten....*seufz*

Till 05.04.2005 20:23
Ist das hier vielleicht was (konnte Escan nicht öffnen):

Scanning File C:\DOKUME~1\ITTERM~1\LOKALE~1\Temp\pbbo.exe

Result: ERROR!!! File C:\DOKUME~1\ITTERM~1\LOKALE~1\Temp\pbbo.exe is Not Scanned

C:\DOKUME~1\ITTERM~1\LOKALE~1\Temp\pbbo.exe not Scanned. Possibly password protected..

Ansonsten wie gesagt nur das hier:

Scanning File C:\WINNT\system32\JAVASUP.VXD
=> Offending value found in HKCU\Software\VB and VBA Program Settings !!!
=> System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken.
=> File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.

Gigamail 05.04.2005 21:21
die kannst du löschen und zwar so:

Windowstaste+R --> %temp% --> enter
inhalt löschen
Windowstaste+R --> temp --> enter
inhalt löschen

Till 05.04.2005 21:28
Hab ich gemacht.

Wenn ich mir die Favoriten von den Ordnern anschaue steht da sohn Schrott von wegen Adult,Cars und ähnliches. Wie lösche ich den Schrott???

Till 06.04.2005 01:20
So hab jetzt mal E-Scan im Safe-Modus drüberlaufen lassen. Er findet folgendes:

Wed Apr 06 02:14:11 2005 => Total Objects Scanned: 142254
Wed Apr 06 02:14:11 2005 => Total Virus(es) Found: 3
Wed Apr 06 02:14:11 2005 => Total Disinfected Files: 0
Wed Apr 06 02:14:11 2005 => Total Files Renamed: 0
Wed Apr 06 02:14:11 2005 => Total Deleted Objects: 0
Wed Apr 06 02:14:11 2005 => Total Errors: 2
Wed Apr 06 02:14:11 2005 => Time Elapsed: 02:29:01


Errors:

Wed Apr 06 00:10:05 2005 => Scanning File C:\Programme\1&1 Internet\Profi-Dialer\timetable.zip
Wed Apr 06 00:10:05 2005 => Result: ERROR!!! File C:\Programme\1&1 Internet\Profi-Dialer\timetable.zip is Not Scanned
Wed Apr 06 00:10:05 2005 => C:\Programme\1&1 Internet\Profi-Dialer\timetable.zip not Scanned. Possibly password protected...

Wed Apr 06 00:10:02 2005 => Scanning File C:\pagefile.sys
Wed Apr 06 00:10:02 2005 => Result: ERROR!!! File C:\pagefile.sys: Scanning Failure!!!
Wed Apr 06 00:10:02 2005 => ERROR!!! ScanFile fails for C:\pagefile.sys

Infected:

Tue Apr 05 23:45:20 2005 => Scanning File C:\WINNT\system32\JAVASUP.VXD
Tue Apr 05 23:45:21 2005 => Offending value found in HKCU\Software\VB and VBA Program Settings !!!
Tue Apr 05 23:45:22 2005 => System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken.
Tue Apr 05 23:45:22 2005 => File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.



Wed Apr 06 01:42:33 2005 => Scanning File D:\Cafe Domino\mirc616.exe
Wed Apr 06 01:42:33 2005 => File D:\Cafe Domino\mirc616.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.

Wed Apr 06 00:10:03 2005 => Scanning File C:\program files\mIRC\mirc.exe
Wed Apr 06 00:10:03 2005 => File C:\program files\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.


Was soll ich mit den gefundenen Files machen?

Till 06.04.2005 11:19
Hat irgendjemand noch eine Idee, woher diese Popups in ca. 20 minütigen Abständen herkommen???
Und was ist mit diesem "VB and VBA Program Settings Spyware/Adware" Virus???

Ist das jetzt wirklich einer??? Soll ich den löschen???

Rene-gad 06.04.2005 11:27
@Till
Zitat:
Hat irgendjemand noch eine Idee, woher diese Popups in ca. 20 minütigen Abständen herkommen???
Lasse mal Ad-Aware und Spybot laufen.
Wegen
Zitat:
diesem "VB and VBA Program Settings Spyware/Adware"
schau mal hier

Till 06.04.2005 14:54
Die Beiden haben auch nix gefunden. Ich poste nochmal ein HJT; vielleicht findet ja einer noch was. :heulen:

Logfile of HijackThis v1.99.1
Scan saved at 15:57:25, on 06.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\Ittermann\Desktop\Virenkiller\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .avi: C:\PROGRA~1\Netscape\COMMUN~1\Program\PLUGINS\npavi32.dll
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:10 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58