Trojaner-Board - popups und unerwünschte websites

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - popups und unerwünschte websites (https://www.trojaner-board.de/23383-popups-unerwuenschte-websites.html)

popups und unerwünschte websites

hallo zusammen,

sobald ich meine internetverbindung aufbaue, werde ich mit popups bombardiert und es öffnen sich andauernd irgendwelche websites - surfen ist somit fast unmöglich.
egal welchen browser ich verwende, ie, opera oder firefox, das problem bleibt.
hab leider so überhaupt keine ahnung und bitte um beistand.

Logfile of HijackThis v1.99.1
Scan saved at 17:21:53, on 06.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Isass.exe
C:\Programme\Anti-Vir\AVGNT.EXE
C:\Programme\Anti-Vir\AVSched32.EXE
C:\Programme\Anti-Vir\AVGUARD.EXE
C:\Programme\Anti-Vir\AVWUPSRV.EXE
C:\WINDOWS\Ymxh\command.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Hijackthis\HijackThis.exe

O1 - Hosts: 209.190.4.218 www.halifax-online.co.uk
O1 - Hosts: 209.190.4.218 ibank.barclays.co.uk
O1 - Hosts: 209.190.4.218 online.lloydstsb.co.uk
O1 - Hosts: 209.190.4.218 online-business.lloydstsb.co.uk
O1 - Hosts: 209.190.4.218 www.ukpersonal.hsbc.co.uk
O1 - Hosts: 209.190.4.218 www.nwolb.com
O1 - Hosts: 209.190.4.218 banesnet.banesto.es
O1 - Hosts: 209.190.4.218 extranet.banesto.es
O1 - Hosts: 209.190.4.218 ebanking.bccbrescia.it
O1 - Hosts: 209.190.4.218 www.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 209.190.4.218 www.rbsdigital.com
O1 - Hosts: 209.190.4.218 oi.cajamadrid.es
O1 - Hosts: 209.190.4.218 bancae.caixapenedes.com
O1 - Hosts: 209.190.4.218 banking.postbank.de
O1 - Hosts: 209.190.4.218 meine.deutsche-bank.de
O1 - Hosts: 209.190.4.218 myonlineaccounts2.abbeynational.co.uk
O1 - Hosts: 209.190.4.218 ibank.cahoot.com
O1 - Hosts: 209.190.4.218 webbank.openplan.co.uk
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\Anti-Vir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\Anti-Vir\AVSched32.EXE /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [NeroFilter] NeroFilterCheck.EXE
O4 - HKLM\..\RunServices: [MS Office1 Startup] OfficeGUI1.exe
O4 - HKCU\..\RunServices: [NeroFilter] NeroFilterCheck.EXE
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB31C567-A5BB-4B59-80B3-9D9F87D6AAB8}: NameServer = 195.50.140.250 195.50.140.114
O20 - Winlogon Notify: CSCSettings - C:\WINDOWS\system32\hr6405jqe.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\Anti-Vir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\Anti-Vir\AVWUPSRV.EXE
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Ymxh\command.exe

danke im voraus

Hallo,
beende mal folgenden Prozess im Taskmanager:
C:\WINDOWS\System32\Isass.exe
und überprüfe die zugehörige Datei hier und poste das Ergebnis.

Grüße Wildone

hallo,
deine ganzen sachen bei denen host steht scheinen nicht ok zu sein.
auch dein aller letzter eintrag sollte gefixt werden.

spiel dir mal das SP 2 drauf..

mönsch, das geht ja fix :aplaus:

nur leider finde ich diese Isass.exe nicht - dateien sind nicht ausgeblendet.

Hi,

kopiere einfach den Pfad in das weiße Kästchen auf http://virusscan.jotti.org/de und klick auf "Abschicken"

Mach das Gleiche bitte auch mit c:\windows\System32\NeroFilterCheck.EXE und c:\Windows\System32\OfficeGUI1.exe

Hallo,
die Datei muss aber da sein, da sie aktiv ist. Suche die Datei mal wie hier beschrieben.

Grüße Wildone

zu dummzumzum(doch noch ausgeblendet)
Datei: Isass.exe
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Trojan.Poebot.C gefunden
Avast
Win32:Poebot-D gefunden
AVG Antivirus
BackDoor.Generic.GGE gefunden
BitDefender
Backdoor.PoeBot.C gefunden
ClamAV
Trojan.Poebot-5 gefunden
Dr.Web
Win32.HLLW.Shepher gefunden
F-Prot Antivirus
W32/Bobax.AO gefunden
Fortinet
W32/PoeBot.C-tr gefunden
Kaspersky Anti-Virus
Backdoor.Win32.PoeBot.c gefunden
NOD32
a variant of Win32/Poebot gefunden
Norman Virus Control
W32/Poebot.BO gefunden
UNA
Backdoor.Rbot gefunden
VBA32
Backdoor.Win32.PoeBot.c gefunden

Datei: NEROFILTERCHECK.EXE-0980C374.pf

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VBA32
Keine Viren gefunden

Datei: OFFICEGUI1.EXE-2CA33BB7.pf

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VBA32
Keine Viren gefunden

Zitat:

Zitat von hoerni26

hallo,
deine ganzen sachen bei denen host steht scheinen nicht ok zu sein.
auch dein aller letzter eintrag sollte gefixt werden.

bei hijackthis nen haken bei den entsprechenden einträgen machen, und fixen drücken ?

und wie krieg ich den trojaner wieder los ??

Hallo,
schlechte Nachrichten für dich, da dieser Virus einen kompletten Fremdzugriff ermöglicht, ist dein System kompromittiert und sollte neu aufgesetzt werden.
Gerade weil eine Umleitung von Onlinebanking Seiten vorgenommen wird, kannst du dir ja vorstellen worauf hier abgezielt wird.
Also, hier ist eine Anleitung wie du beim Neuaufsetzen vorgehen solltest damit sowas nicht wieder passiert.
Ein wahrscheinlicher Grund für deine Infektion ist dein nicht aktuelles System, aktuell wäre SP2+ alle weitern Patches. Also, das neue System auch immer schön aktuell halten.

Grüße Wildone

Mich hätte das Ergebnis der zwei anderen Dateien auch noch interessiert, waren bestimmt auch Bots. Aber wahrscheinlich hat sie dein Virenscanner schon "entfernt" (die Dateien die du überprüft hast, waren nur aus dem Prefetch-Ordner). Naja, kann man nicht ändern.

genau das hab ich jetzt gebraucht :heulen:

denn

dies ist nur mein zweitrechner (rechner numero uno ist zur rep) und an diesem ding besteht NATÜRLICH nicht die möglichkeit daten zu sichern.

8 stunden arbeit für die katz - naja aus schaden wird man klug.

danke für die hilfe.