Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Werbe-Popups öffnen sich immer wieder (https://www.trojaner-board.de/79863-werbe-popups-oeffnen-immer.html)

stefan673 29.11.2009 20:20
Werbe-Popups öffnen sich immer wieder
 
Hallo aus dem schönen Ostwestfalen,

seit gestern öffnen sich bei mir Werbepopups im IE, obwohl FF Standardbrowser ist. Hat mich schon ein wenig verwundert.

Danach habe ich CCleaner, SuperAntiSpyware, Malwarebytes´Anti Malware und RSIT laufen lassen.

SAS hat 2 Funde gemeldet:
-Trojan.Agent/Gen-NameScam
-Trojan.Agent/Gen-Nullo[Short]

Mbam im Quick-Scan auch diverse, im anschließenden Full-Scan dann noch eine infizierte Datei.

Sämtliche Logs liegen hier: Logs aktuell.zip


Vor einem Monat etwa hatte schon ein Problem mit Malware,
da waren es veränderte Logos in der Lesezeichen Schnellstartleiste,
außerdem ca. 50 % CPU Load im Leerlauf und es waren keine Downloads via FF möglich (hat sich nach anklicken des Links aufgehängt).
Die Neuinstallation (von Firefox) hatte keinen Erfolg.

Im Taskmanager fiel mir _ex-08.exe auf, habe ich in msconfig deaktiviert und dann im abgesicherten Modus gelöscht.

Der Scan mit SAS brachte einige Dinger zu Tage, die Logs (von Ende Oktober) habe ich alle hier hochgeladen.

Evtl. kann und möchte mir jemand von Euch helfen?

Vielen Dank für die Unterstützung.

cosinus 30.11.2009 11:42
Ich steig bei Deinem Filehoster nicht durch :balla:
Kannst Du die Logs bitte bei file-upload.net hochladen?

stefan673 30.11.2009 12:03
Hallo cosinus,

gestern funktionierte file-upload.net scheinbar nicht.
Habe gegoogelt und den erst besten genommen.

Hier die neuen Links:

File-Upload.net - Logs-aktuell.zip

und

File-Upload.net - Logs-Ende-Oktober.zip

Danke, dass Du Dich meines Problems annehmen möchtest.

Gruß

Stefan

cosinus 30.11.2009 14:04
Code:
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = [firma].local
O17 - HKLM\Software\..\Telephony: DomainName = [firma].local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = [firma].local
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = [firma].local
Ist das ein Firmen-/Bürorechner? Wenn ja, solltest Du das lieber mit der zuständigen EDV-Abteilung abklären.

stefan673 30.11.2009 17:58
Hallo cosinus,

der Rechner steht bei mir im Büro, stimmt.
Die Antwort der IT-Abteilung glaube ich aber schon zu kennen:

Sehen Sie mal zu dass das wieder in Ordnung kommt.

Von daher wäre es mir sehr lieb, wenn ich das Problem mit Deiner Hilfe in den Griff bekomme...

Gruß,
Stefan

cosinus 30.11.2009 19:44
Zitat:
Sehen Sie mal zu dass das wieder in Ordnung kommt.
Häh , das versteh ich nicht, wieso sollten die Kollegen aus der IT sowas zu Dir sagen? :confused:
Es ist definitiv Aufgabe der EDV-Abteilung, die müssen auch die Verantwortung des gesamten Netzwerks tragen, die können es sich nicht leisten untätig zu bleiben wenn die von einem infizierten Client wissen! :pfui:

stefan673 01.12.2009 19:08
Ja, Du hast Recht. Ich sollte die IT Abteilung um Hilfe bitten.
Die werden mir schon nicht den Kopf abreißen.

Ich mache dann mal Platz für den nächsten "Kunden" hier im Forum,
warne aber vor dass mein privater Rechner die Tage hier auch vorstellig werden wird. Ein hoch auf den USB-Stick :daumenhoc.

Gruß,
Stefan


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:09 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131