Trojaner-Board
Seite 1 von 5 1 23 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   IExplorer öffnet Werbeseiten (https://www.trojaner-board.de/23636-iexplorer-oeffnet-werbeseiten.html)

oloss 14.11.2005 19:16
IExplorer öffnet Werbeseiten
 
Hallo,
ich bin schon ziehmlich verzweifelt und bitte um Eure Hilfe, da mein PC in unregelmäßigen Abständen mit InternetExplorer PopUps nervt. Diese PopUps lassen sich mit keinem PopUpBlocker stoppen und verweisen immer auf ***.spyspotter.com

In dem PopUp Fenster ist folgendes zu lesen: "Spyware or adware may be damaging your computer. If you have downloaded music online or visited adult website, spyware may be running in your computer. Spyware may cause slow computer speeds, unwanted pop up ads or personal identity theft. Click 'ok' to scan your PC now."

Nach erfolglosen Versuchen diese Werbung mit Ad-aware oder Norton Antivirus zu entfernen, bitte ich um Eure Hilfe und poste hier mal meinen hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 19:03:03, on 14.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\sstray.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Pixoria\Konfabulator\Konfabulator.exe
C:\Programme\PopTray\PopTray.exe
C:\Programme\Pixoria\Konfabulator\Konfabulator.exe
C:\Programme\Pixoria\Konfabulator\Konfabulator.exe
C:\Programme\Pixoria\Konfabulator\Konfabulator.exe
C:\Programme\Pixoria\Konfabulator\Konfabulator.exe
C:\Programme\Pixoria\Konfabulator\Konfabulator.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Shareaza\Shareaza.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Dokumente%20und%20Einstellungen/***/Eigene%20Dateien/Webdesign/Internetsites/Domainfactory/go/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = file:///F:/Eigene%20Dateien/Internetsites/offline%20startsite/StartSite.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Virtual Drive] C:\Programme\TweakNow PowerPack\VDRIVE.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Konfabulator.lnk = C:\Programme\Pixoria\Konfabulator\Konfabulator.exe
O4 - Startup: PopTray.lnk = C:\Programme\PopTray\PopTray.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Programme\Hello\PicasaCapture.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Programme\Hello\PicasaCapture.dll
O9 - Extra button: SchnapperPro - {D6243B39-211B-440E-B4C5-26D2A579CAC8} - C:\Programme\SchnapperPro\SchnapperPro.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O15 - Trusted Zone: web.telewifi.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{B5635C6C-DE37-4ED5-AB1E-BECE983EE4EB}: NameServer = 195.58.160.2,195.58.161.3
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Wildone 14.11.2005 19:33
Hallo,
hmm, ist dieser Startseiteneintrag so von dir gewollt?
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Dokumente%20und%20Einstellungen/***/Eigene%20Dateien/Webdesign/Intern etsites/Domainfactory/go/index.html
Ich kann soweit nichts finden was dafür verantwortlich sein könnte. Scanne dein System mal mit Ewido und poste den Report (bereinigt von den Meldungen über cookies).


Grüße Wildone

oloss 14.11.2005 21:38
Danke für die rasche Hilfe!

Der angesprochene Starteintrag ist gewollt ;-)
Damit erhalte ich meine Homepage am Active-Desktop. Ist aber absolut viren- und adfrei!

Ich hab ewido mal drüberlaufen lassen. Hier der Report (ohne cookies):

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 21:32:12, 14.11.2005
+ Report-Checksumme: A3960EF8

+ Scanergebnis:

HKLM\SOFTWARE\Classes\Interface\{2BDB4DA9-94FE-4034-AAC5-CEECDCB3A33B} -> Spyware.Adlogix : Ignoriert
HKLM\SOFTWARE\Classes\Interface\{2BDB4DA9-94FE-4034-AAC5-CEECDCB3A33B}\TypeLib\\ -> Spyware.Adlogix : Ignoriert
HKLM\SOFTWARE\Classes\Interface\{4D8E41A8-EC1F-4C53-A10D-9120232C71BB} -> Spyware.Adlogix : Ignoriert
HKLM\SOFTWARE\Classes\Interface\{4D8E41A8-EC1F-4C53-A10D-9120232C71BB}\TypeLib\\ -> Spyware.Adlogix : Ignoriert
HKLM\SOFTWARE\Classes\TypeLib\{7D49A157-A1EB-4538-8B0D-6AC430C92D0B} -> Spyware.Adlogix : Ignoriert
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/bridge.dll\\.Owner -> Spyware.WinFavorites : Ignoriert
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/bridge.dll\\{9C691A33-7DDA-4C2F-BE4C-C176083F35CF} -> Spyware.WinFavorites : Ignoriert
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/ieloader.dll\\.Owner -> Dialer.Generic : Ignoriert
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/ieloader.dll\\{1E50B82A-0D78-48B9-97EC-391B2F81CE8A} -> Dialer.Generic : Ignoriert
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/ISTactivex.dll -> Spyware.ISTBar : Ignoriert
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/ISTactivex.dll\\.Owner -> Spyware.SearchBarCash : Ignoriert
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/ISTactivex.dll\\{018B7EC3-EECA-11D3-8E71-0000E82C6C0D} -> Spyware.SearchBarCash : Ignoriert
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/jao.dll\\.Owner -> Spyware.WinFavorites : Ignoriert
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/jao.dll\\{9C691A33-7DDA-4C2F-BE4C-C176083F35CF} -> Spyware.WinFavorites : Ignoriert
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/UniDist.ocx\\.Owner -> Spyware.MoneyTree : Ignoriert
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/UniDist.ocx\\{E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} -> Spyware.MoneyTree : Ignoriert
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/mfc42.dll\\{E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} -> Spyware.MoneyTree : Ignoriert
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/msvcrt.dll\\{E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} -> Spyware.MoneyTree : Ignoriert
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/olepro32.dll\\{E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} -> Spyware.MoneyTree : Ignoriert
HKU\S-1-5-21-842925246-1500820517-682003330-1003\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{10E42047-DEB9-4535-A118-B3F6EC39B807} -> Spyware.SideFind : Ignoriert
HKU\S-1-5-21-842925246-1500820517-682003330-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{71ED4FBA-4024-4BBE-91DC-9704C93F453E} -> Spyware.BlazeFind : Ignoriert
HKU\S-1-5-21-842925246-1500820517-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{00000010-6F7D-442C-93E3-4A4827C2E4C8} -> Spyware.InternetOptimizer : Ignoriert
HKU\S-1-5-21-842925246-1500820517-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7C559105-9ECF-42B8-B3F7-832E75EDD959} -> Spyware.ISTBar : Ignoriert
HKU\S-1-5-21-842925246-1500820517-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000010-6F7D-442C-93E3-4A4827C2E4C8} -> Spyware.InternetOptimizer : Ignoriert
HKU\S-1-5-21-842925246-1500820517-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10E42047-DEB9-4535-A118-B3F6EC39B807} -> Spyware.SideFind : Ignoriert
HKU\S-1-5-21-842925246-1500820517-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7C559105-9ECF-42B8-B3F7-832E75EDD959} -> Spyware.ISTBar : Ignoriert
HKU\S-1-5-21-842925246-1500820517-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A3FDD654-A057-4971-9844-4ED8E67DBBB8} -> Spyware.ISTBar : Ignoriert

::Report Ende

Wildone 15.11.2005 11:08
Hallo,
hast du Ewido absichtlich so eingestellt dfas er die Einträge nicht behebt? Wenn ja, es so einstellen das die Einträge gelöscht werden. Zusätzlich nochmal über Systemsteurung>>Software schauen ob dort Programme wie ISTbar und Internet Optimizer deinstallieren.


Grüße Wildone

oloss 15.11.2005 11:16
hallo,
ich dachte, ich darf die Fehler nicht beheben lassen, damit sie auch im Log aufscheinen und nicht gelöscht sind. Aber ich hab Ewido ein zweites mal scannen lassen und alle Fehler behoben.
In Systemsteuerung/Software/ hab ich Programme wie IST-Bar schon gelöscht. Mir fällt dort nichts auffälliges mehr auf.
Danke für Deine Hilfe!!
Lg, Oliver

Wildone 15.11.2005 11:26
Hallo,
das Problem mit den Popups ist damit auch behoben? Wenn ja viel Spass an deinem sauberen System. Du solltest auf jeden Fall noch ein JAVAupdate (Systemsteuerung>>JAVA) machen, deine Version ist total veraltet (Sicherheitsrisiko!).


Grüße Wildone

oloss 15.11.2005 11:30
hmmm, da das PopUp Fenster immer unregelmäßig erscheint, kann ich noch nicht sagen, ob es tatsächlich weg ist. Aber ich hoffe mal. Ansonsten darf ich mich wieder melden.
Java Update ist ein guter Tipp - Danke! Hast Du eine Adresse wo man das bekommt??
Danke für Deine Hilfe!!!

oloss 15.11.2005 16:33
HILFE!!
Das PopUpFenster ist wieder erschienen :heulen:
JAVA hab ich auf Version 5 upgedatet. Was kann ich noch tun?

Wildone 15.11.2005 16:38
Hallo,
untersuche mal dein System mit Escan(Anleitung sorgfältig lesen!) und poste das Log wie beschrieben. Hast du Ewido mal im abgesicherten Modus (F8 beim booten) laufen lassen?


Grüße Wildone

oloss 15.11.2005 22:48
Hello nochmal,
hab mit ewido im abgesicherten Modus gescannt, aber nur 1 cookie gefunden. Werd mal die andere Scansoftware testen und den Log posten.
DANKE, Oliver

oloss 16.11.2005 16:25
Hallo Wildone,
ich hab hier mal einen Screenshot von dem Popupfenster hinterlegt:
http://zero.loss.net/SpywareScreenshot.gif

Der Speicherort von der html-Datei lautet so:
C:\Dokumente und Einstellungen\Oli\Lokale Einstellungen\Temp\CPtf\{2F03839E-647A-40CD-A171-E70ED04D1203}.html

Und der Quelltext lautet wie folgt:
<head><title></title></head><body style="margin:0;overflow:hidden;" onclick="self.close()"><iframe src="http://e.rn11.com/adbuys/a1164-121Media" width="600" height="400" frameborder="no" border="0" marginwidth="0" marginheight="0" scrolling="no"></iframe></body>

Vielleicht hilft das weiter?!
Ich werd mal mit der anderen Scansoftware prüfen und dann den Log posten.
Lg, Oliver

oloss 17.11.2005 22:39
Hallo Wildone,
also ich hab jetzt mit Escan gescannt und er hat nur 7 Viren im Quarantäne Ordner von Norton Antivirus gefunden, sonst nichts :-(

Hier die Log Datei:

Do Nov 17 19:54:04 2005 => **********************************************************
Do Nov 17 19:54:04 2005 => eScan for Windows.
Do Nov 17 19:54:04 2005 => Copyright © 2004-2005, MicroWorld Technologies Inc.
Do Nov 17 19:54:04 2005 => Support: support@mwti.net
Do Nov 17 19:54:04 2005 => Web: http://www.mwti.net
Do Nov 17 19:54:04 2005 => **********************************************************
Do Nov 17 19:54:04 2005 => Version 1.21
Do Nov 17 19:54:04 2005 => LogFile: C:\PROGRA~1\eScan\Log\17110000.log
Do Nov 17 19:54:04 2005 =>
Do Nov 17 19:54:04 2005 => Heuristics: On
Do Nov 17 19:54:04 2005 => Packed files: On
Do Nov 17 19:54:04 2005 => System areas: On
Do Nov 17 19:54:04 2005 => Archived files: On
Do Nov 17 19:54:04 2005 => Calculate Analysis: On
Do Nov 17 19:54:04 2005 => Action in case of an infection: Automatic
Do Nov 17 19:54:04 2005 =>
Do Nov 17 19:54:25 2005 => ***** Checking system areas *****
Do Nov 17 19:57:22 2005 =>
Do Nov 17 19:57:22 2005 => ***** Checking selected directories and files
Do Nov 17 22:25:17 2005 => ***** Analysis Completed. *****
Do Nov 17 22:25:17 2005 =>
Do Nov 17 22:25:17 2005 => Total Number of Files Scanned: 192187
Do Nov 17 22:25:17 2005 => Total Number of Files Infected: 7
Do Nov 17 22:25:17 2005 => Total Number of Files Disinfected: 0
Do Nov 17 22:25:17 2005 => Total Number of Files Renamed: 0
Do Nov 17 22:25:17 2005 => Total Number of Files Deleted: 7
Do Nov 17 22:25:17 2005 => Total Number of Errors: 0
Do Nov 17 22:25:17 2005 => Time Elapsed:: 02:30:52

Wildone 17.11.2005 22:47
Hallo,
damit bin ich mit meinem Latein fast am Ende. Welche Viren(genaue Bezeichnung) waren eigentlich im Norton Quarantäneordner? Untersuch dein System mal mit Silentrunner und mit F-Secure Blacklight und poste die jeweiligen Logs.


Grüße Wildone

oloss 19.11.2005 17:57
Hallo Wildone,
also ich hab mit Silentrunner gescannt und auch nichts gefunden. Da ich eh schon lange überlegt habe, auf Mozilla Firefox umzusteigen, habe ich das nun auch getan. Damit wird das PopUp wohl auch nicht mehr erscheinen ;-)
Trotzdem DANKE für Deine Hilfe!! Lg, Oliver

Wildone 19.11.2005 19:31
Hallo,
Zitat:
Damit wird das PopUp wohl auch nicht mehr erscheinen ;-)
Da wäre ich mir nicht so sicher, es könnte durchaus sein.
Außerdem solltest du das schon bereinigen, es könnte auch sein das die Malware weiteres nachlädt oder zumindest dein gesammtes Surfverhalten aufzeichnet.
Zitat:
also ich hab mit Silentrunner gescannt und auch nichts gefunden.
Ähh,
ich habe schon ab und zu Probleme Silentrunner Logs zu lesen, wie kannst du dir da sicher sein?


Grüße Wildone


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:31 Uhr.
Seite 1 von 5 1 23 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129