|
Winlogonhook, virtumonde, Trojaner und ständige Popups Liebes Trojaner-Board Team! Seit 48 Stunden sitze ich vor meinem PC und versuche diverseste Funde (siehe Titel) von diversesten Adware und Antivirenprogrammen (Spy Sweep, Ewido, Housecall, Spybot) in den Griff zu kriegen- ohne Erfolg. Die Grundsymptomatik bleibt bestehen, nämlich Popups. Ich habe wirklich diverseste Lösungsvorschläge von Posts Schritt für Schritt abgeackert, jetzt steh ich kurz vorm Neuaufsetzen meines PCs und erbitte dringensd Hilfe! Hier meine LOGs: Logfile of HijackThis v1.99.1 Scan saved at 10:54:26, on 13.10.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe C:\WINDOWS\system32\Rundll32.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\WINDOWS\system32\ctfmon.exe H:\spiele\halfli~1\steam\steam.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\LckFldService.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\Mcshield.exe C:\Programme\Network Associates\VirusScan\VsTskMgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Spy Sweeper\SpySweeper.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\WINDOWS\explorer.exe C:\Programme\BitTornado\btdownloadgui.exe C:\Programme\ewido anti-spyware 4.0\ewido.exe C:\Programme\Spy Sweeper\SpySweeperUI.exe c:\programme\internet explorer\iexplore.exe C:\Dokumente und Einstellungen\Michi\Desktop\FxVMonde.exe C:\Programme\Spy Sweeper\SSU.EXE C:\Dokumente und Einstellungen\Michi\Desktop\Programme\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.derstandard.at/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe O4 - HKLM\..\Run: [CTSysVol] "C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe" /r O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe" O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [ISUSPM Startup] "C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Steam] "h:\spiele\halfli~1\steam\steam.exe" -silent O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=www.tuwien.ac.at O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programme\Spy Sweeper\SpySweeper.exe --------------------------------------------------------- ewido anti-spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 10:56:27 13.10.2006 + Scan-Ergebnis: C:\Dokumente und Einstellungen\Michi\Cookies\michi@advertising[1].txt -> TrackingCookie.Advertising : Gesäubert. C:\Dokumente und Einstellungen\Michi\Cookies\michi@bfast[1].txt -> TrackingCookie.Bfast : Gesäubert. C:\Dokumente und Einstellungen\Michi\Cookies\michi@cpvfeed[2].txt -> TrackingCookie.Cpvfeed : Gesäubert. C:\Dokumente und Einstellungen\Michi\Cookies\michi@mediaplex[1].txt -> TrackingCookie.Mediaplex : Gesäubert. C:\Dokumente und Einstellungen\Michi\Cookies\michi@oewabox[1].txt -> TrackingCookie.Oewabox : Gesäubert. C:\Dokumente und Einstellungen\Michi\Cookies\michi@stats1.reliablestats[2].txt -> TrackingCookie.Reliablestats : Gesäubert. ::Berichtende VundoFix V6.2.1 Checking Java version... Sun Java not detected Scan started at 01:24:01 13.10.2006 Listing files found while scanning.... C:\WINDOWS\system32\ddcyw.dll C:\WINDOWS\system32\ddcyw.dll C:\WINDOWS\system32\wycdd.ini C:\WINDOWS\system32\wycdd.bak1 C:\WINDOWS\system32\wycdd.ini C:\WINDOWS\system32\wycdd.bak1 Beginning removal... Attempting to delete C:\WINDOWS\system32\ddcyw.dll C:\WINDOWS\system32\ddcyw.dll Could not be deleted. Attempting to delete C:\WINDOWS\system32\ddcyw.dll C:\WINDOWS\system32\ddcyw.dll Could not be deleted. Attempting to delete C:\WINDOWS\system32\wycdd.ini C:\WINDOWS\system32\wycdd.ini Has been deleted! Attempting to delete C:\WINDOWS\system32\wycdd.bak1 C:\WINDOWS\system32\wycdd.bak1 Has been deleted! Performing Repairs to the registry. Done! Beginning removal... Attempting to delete C:\WINDOWS\system32\ddcyw.dll C:\WINDOWS\system32\ddcyw.dll Has been deleted! Performing Repairs to the registry. Done! SmitFraudFix v2.109 Scan done at 10:22:59,93, 13.10.2006 Run from C:\Dokumente und Einstellungen\Michi\Desktop\X\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Michi »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Michi\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Michi\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32 »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End |
Habe ich mich in irgendeiner weise nicht entsprechend der Board Regeln verhalten, dass mein Beitrag ignoriert wird? Falls ja bitte um Rückmeldung! |
Zitat:
Du hast dich an die Regeln gehalten, aber dein Beitrag wurde wohl irgendwie übersehen bzw. wusste niemand eine Antwort auf dein Problem! Zumal auch ich sagen muss das dein Logfile keinerlei Einträge aufweist welche sich auf dein Pop-Up Problem zurückschliessen lassen. Führe daher mal einen eScan durch, die Anleitung bitte genau beachten! (Poste das Ergebnis mit Hilfe der [B]"find.bat"[/B}, wie es gemacht wird steht alles in der Anleitung!) Gruß Sunny |
Danke für die Rückmeldung, hier das log: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sun Oct 15 19:44:19 2006 => System found infected with troj/taladra-f BackDoor ({e7bc34a3-ba86-11cf-84b1-cbc2da68bf6c})! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Sun Oct 15 19:44:21 2006 => Offending Key found: HKLM\Software\kazaa !!! Sun Oct 15 19:44:21 2006 => Offending Key found: HKCU\Software\kazaa !!! Sun Oct 15 19:44:21 2006 => Offending Key found: HKLM\Software\microsoft\downloadmanager !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ -------------------------------------------------- ECHO ist eingeschaltet (ON). -------------------------------------------------- danke im voraus für die Hilfe! |
Liebes Trojaner-Board-Team! Ich mag weder unhöflich noch ungeduldig erscheinen, aber irgendwie habe ich das Gefühl, dass die Antworten auf mein Problem besonders lang dauern (ein Gefühl, das wahrscheinlich jeder in dieser "Notlage" hat.) Ich möchte nur die Bitte an euch stellen, dass, wenn ihr keine Lösung oder Idee bzgl. meines Problems habt, ihr mir zumindest dieses in einer klitzekleinen Antwort mitteilen könntet, damit ich mich mit meiner Notsituation evtl. auch noch an andere Experten wenden kann. Danke im Voraus! LG Loki131 |
Hallo, Google hätte dir geholfen...;) Guggst du hier :http://www.sophos.com/virusinfo/anal...jtaladraf.html Du wirst um eine Neuinstallation nicht herumkommen,wenn du ein sauberes und sicheres System wieder haben willst. Andere Experten werden dir,so sie seriös sind ,auch nichts anderes raten. Hier eine Anleitung zur Neuinstallation :http://www.trojaner-board.de/showthread.php?t=12154 Warum das der einzig sichere Weg ist steht hier :http://www.mathematik.uni-marburg.de...c-removal.html Wenn noch Fragen sind ,raus damit ...ich achte jetzt mal auf dich...damit du nicht wieder hinten runter fällst...:heilig: Irrlicht |
Nun, danke für die Antwort. Gegoogelt hab ich wohl, unter anderem stieß ich auch darauf: http://www.trojaner-board.de/archive/index.php/t-24550.html Ähnliche Situation liegt auch bei mir vor. Habe nun mit Kaspersky noch einmal gescannt und sieh da, kein Alarm. Wohl befindet sich die Datei ntsvc.ocx in meinem Systemordner, allerdings ist diese von keinerlei Viren befallen. Weiters konnte ich mit Regseeker keinen der angeführten keys in meiner Registry entdecken --> HKCR\CLSID\(E7BC34A3-BA86-11CF-84B1-CBC2DA68BF6C) HKCR\Interface\(E7BC34A1-BA86-11CF-84B1-CBC2DA68BF6C) HKCR\Interface\(E7BC34A2-BA86-11CF-84B1-CBC2DA68BF6C) HKCR\NTService.Control.1\ HKCR\TypeLib\(E7BC34A0-BA86-11CF-84B1-CBC2DA68BF6C) Fehlalarm? |
Hallo, noch einer dessen Angst vor dem euaufsetzen größer ist als die Angst im Knast zu landen.... Fehlalarm ? sehr unwahrscheinlich....... Gucggst du hier aus deinem Log : Listing files found while scanning.... C:\WINDOWS\system32\ddcyw.dll C:\WINDOWS\system32\ddcyw.dll C:\WINDOWS\system32\wycdd.ini C:\WINDOWS\system32\wycdd.bak1 C:\WINDOWS\system32\wycdd.ini C:\WINDOWS\system32\wycdd.bak1 Attempting to delete C:\WINDOWS\system32\ddcyw.dll C:\WINDOWS\system32\ddcyw.dll Could not be deleted. Attempting to delete C:\WINDOWS\system32\ddcyw.dll C:\WINDOWS\system32\ddcyw.dll Could not be deleted. Attempting to delete C:\WINDOWS\system32\wycdd.ini C:\WINDOWS\system32\wycdd.ini Has been deleted! Attempting to delete C:\WINDOWS\system32\wycdd.bak1 C:\WINDOWS\system32\wycdd.bak1 Has been deleted! Dieses gilt noch immer ::http://www.trojaner-board.de/showthread.php?t=12154 Dein gefundener Link ist vom Dezember 05......... Auch da wurde geraten ,neuzuinstallieren... Irrlicht |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:56 Uhr. |
Copyright ©2000-2025, Trojaner-Board