Trojaner-Board - Pop Ups beim starten von Firefox

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Pop Ups beim starten von Firefox (https://www.trojaner-board.de/35427-pop-ups-beim-starten-firefox.html)

Pop Ups beim starten von Firefox

Hi!

ich hoff' ihr könnt mir helfen ;).
In letzter Zeit krieg ich popups beim starten von firefox.

Kurz vorweg:
ich finds komisch, dass der iexplorer 2x läuft, obwohl ich nur firefox benutze - diese 2 Prozesse lassen sich per taskmanager auch nicht beenden, erscheinen sofort wieder.

danke!

Hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 16:13:59, on 17.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WIN\System32\smss.exe
C:\WIN\system32\winlogon.exe
C:\WIN\system32\services.exe
C:\WIN\system32\lsass.exe
C:\WIN\System32\Ati2evxx.exe
C:\WIN\system32\svchost.exe
C:\WIN\System32\svchost.exe
C:\WIN\system32\Ati2evxx.exe
C:\WIN\Explorer.EXE
C:\WIN\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WIN\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WIN\System32\ctfmon.exe
C:\Programme\Steganos Security Suite 2006\SSS2006.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WIN\System32\svchost.exe
C:\Programme\Sitecom\Sitecom Wireless Network PCI Adapter 54G WL-115\Installer\WINXP\WLANUTL.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Steganos Security Suite 2006\SSS2006.exe
C:\WIN\System32\SatSrv.exe
C:\Programme\Steganos Security Suite 2006\PasswordManagerIEAutoFill.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\Trillian\TRILLIAN.exe
C:\Programme\EvilLyrics\EvilLyrics.exe
C:\DOKUME~1\JULIA~1.SCA\LOKALE~1\Temp\15exinjs.a1.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\Hijackthis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIN\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [.nvsvc] C:\WIN\system\smss.exe /w
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Ping 64 bows blah] C:\Dokumente und Einstellungen\All Users.WIN\Anwendungsdaten\Axis camp ping 64\Frag 2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WIN\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -boot
O4 - HKCU\..\Run: [fourview] C:\DOKUME~1\JULIA~1.SCA\ANWEND~1\PROXYB~1\MIXBLUEABOUT.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office NEU\Office10\OSA.EXE
O4 - Global Startup: Sitecom WL-115 Utility.lnk = C:\Programme\Sitecom\Sitecom Wireless Network PCI Adapter 54G WL-115\Installer\WINXP\WLANUTL.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1151079066399
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1157298007296
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WIN\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WIN\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WIN\SYSTEM32\slserv.exe
O23 - Service: Steganos AntiTheft - Unknown owner - C:\WIN\System32\\SatSrv.exe

Hallo. :)

Du hast noch weit aus größere Probleme als die PopUps, nämlich das hier:

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\DOKUME~1\JULIA~1.SCA\LOKALE~1\Temp\15exinjs.a1. exe
C:\WIN\system\smss.exe

* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Gruß
Sunny

Hui danke!

bei smss.exe ists wohl eindeutig was ... was muss ich hier weiter machen?

ansonsten - hab mich jetzt wieder n bissel eingelesen, könnte es sein, dass ich den swizzor.A hab?

omplete scanning result of "smss.exe", received in VirusTotal at 01.17.2007, 20:19:12 (CET).

sorry, des zerhaut hier die listen...

AntiVir 7.3.0.21 01.17.2007 HEUR/Malware
Authentium 4.93.8 01.16.2007 no virus found
Avast 4.7.936.0 01.17.2007 Win32:Horst-BR
AVG 386 01.17.2007 no virus found
BitDefender 7.2 01.17.2007 Trojan.Zlob.Gen
CAT-QuickHeal 9.00 01.17.2007 Trojan.Horst.gen
ClamAV devel-20060426 01.17.2007 no virus found
DrWeb 4.33 01.17.2007 Trojan.Popuper
eSafe 7.0.14.0 01.17.2007 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.115 01.17.2007 Win32/Boxed.Variant!Trojan
eTrust-Vet 30.3.3332 01.17.2007 no virus found
Ewido 4.0 01.17.2007 no virus found
Fortinet 2.82.0.0 01.17.2007 no virus found
F-Prot 3.16f 01.16.2007 no virus found
F-Prot4 4.2.1.29 01.16.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 Trojan.Win32.Agent.xu
Kaspersky 4.0.2.24 01.17.2007 Trojan-Proxy.Win32.Horst.jf
McAfee 4941 01.17.2007 BackDoor-CMQ.dldr
Microsoft 1.1904 01.17.2007 no virus found
NOD32v2 1985 01.17.2007 a variant of Win32/Medbot.BB
Norman 5.80.02 01.17.2007 W32/Horst.gen7
Panda 9.0.0.4 01.17.2007 Suspicious file
Prevx1 V2 01.17.2007 no virus found
Sophos 4.13.0 01.16.2007 Mal/Behav-080
Sunbelt 2.2.907.0 01.12.2007 no virus found
TheHacker 6.0.3.148 01.14.2007 Trojan/Horst.gen
UNA 1.83 01.17.2007 TrojanProxy.Win32.Horst.a
VBA32 3.11.2 01.16.2007 MalwareScope.Trojan-Proxy.Horst.1
VirusBuster 4.3.19:9 01.17.2007 Trojan.Medbot.Gen!Pac

Aditional Information File size: 38912 bytes
MD5: af5a2c570a0cbda14d6637ba49748a7a
SHA1: b361f97510c737c3f93b17b85b788f56659f19
ebpackers:
UPXpackers:
UPXpackers:
UPXpackers: UPX

bei der anderen Datei krieg ich ab und zu warnmeldungen von spybot - aber taucht anscheinend ja immer wieder auf nach dem löschen... mhh.

der scanner zeigt jedoch nix an.

Complete scanning result of "15exinjs.a1._exe", received in VirusTotal at 01.17.2007, 20:27:14 (CET).

AntivirusVersionUpdateResult AntiVir7.3.0.2101.17.2007no virus foundAuthentium4.93.801.16.2007no virus foundAvast4.7.936.001.17.2007no virus foundAVG38601.17.2007no virus foundBitDefender7.201.17.2007no virus foundCAT-QuickHeal9.0001.17.2007no virus foundClamAVdevel-2006042601.17.2007no virus foundDrWeb4.3301.17.2007no virus foundeSafe7.0.14.001.17.2007no virus foundeTrust-InoculateIT23.73.11501.17.2007no virus foundeTrust-Vet30.3.333201.17.2007no virus foundEwido4.001.17.2007no virus foundFortinet2.82.0.001.17.2007no virus foundF-Prot3.16f01.16.2007no virus foundF-Prot44.2.1.2901.16.2007no virus foundIkarusT3.1.0.2701.09.2007no virus foundKaspersky4.0.2.2401.17.2007no virus foundMcAfee494101.17.2007no virus foundMicrosoft1.190401.17.2007no virus foundNOD32v2198501.17.2007no virus foundNorman5.80.0201.17.2007no virus foundPanda9.0.0.401.17.2007no virus foundPrevx1V201.17.2007no virus foundSophos4.13.001.16.2007no virus foundSunbelt2.2.907.001.12.2007no virus foundTheHacker6.0.3.14801.14.2007no virus foundUNA1.8301.17.2007no virus foundVBA323.11.201.16.2007no virus foundVirusBuster4.3.19:901.17.2007no virus found

Aditional Information File size: 0 bytesMD5: d41d8cd98f00b204e9800998ecf8427eSHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709