Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Ständiges öffnen von Werbung (https://www.trojaner-board.de/60142-staendiges-oeffnen-werbung.html)

Sarrymast 18.09.2008 09:44
Ständiges öffnen von Werbung
 
Schönen guten tag habe seit ca. 4 Tagen das Problem das sich dauernd nervende Werbefesnster unter Firefox öffnen... Habe hier zu schon einen theard gefunden dort wurde jedoch dazu aufgefordert ein neues Thema zu eröffnen.
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:33:27, on 18.09.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
C:\Program Files\Sceneo\AbsolutTV\Services\ODSBC\ODSBCApp.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\wpcumi.exe
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Windows\ehome\ehtray.exe
C:\Users\***\AppData\Local\dbavmjhg.exe
C:\Program Files\Hamachi\hamachi.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE
C:\Program Files\ICQ6\ICQ.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\***\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.aldi.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [TVBroadcast] C:\Program Files\Sceneo\AbsolutTV\SERVICES\ODSBC\ODSBCApp.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\GoogleEULA\EULALauncher.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WPCUMI] C:\Windows\system32\WpcUmi.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [BullGuard] "C:\Program Files\BullGuard Software\BullGuard\BullGuard.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Orb] "C:\Program Files\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [dbavmjhg] "c:\users\***\appdata\local\dbavmjhg.exe" dbavmjhg
O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
O4 - Global Startup: ScanPanel.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - h**p://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - h**p://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - h**p://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - h**p://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O13 - Gopher Prefix:
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\ALDI Foto Service Nord\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GnabService - Empolis GmbH - c:\program files\common files\gnab\service\servicecontroller.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Program Files\Sceneo\AbsolutTV\Services\PVR\PVRService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 8179 bytes
Ich hoffe ihr könnt mir helfen

MfG
Sarrymast

cosinus 18.09.2008 12:28
Hallo und :hallo:

Acker diese Punkte für weitere Analysen ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
c:\users\***\appdata\local\dbavmjhg.exe
2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
7.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Sarrymast 19.09.2008 15:58
1.
Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
AhnLab-V3        2008.9.19.2        2008.09.19        -
AntiVir        7.8.1.34        2008.09.19        -
Authentium        5.1.0.4        2008.09.19        -
Avast        4.8.1195.0        2008.09.18        -
AVG        8.0.0.161        2008.09.19        -
BitDefender        7.2        2008.09.19        -
CAT-QuickHeal        9.50        2008.09.19        -
ClamAV        0.93.1        2008.09.19        -
DrWeb        4.44.0.09170        2008.09.19        -
eSafe        7.0.17.0        2008.09.18        -
eTrust-Vet        31.6.6091        2008.09.16        -
Ewido        4.0        2008.09.19        -
F-Prot        4.4.4.56        2008.09.19        -
F-Secure        8.0.14332.0        2008.09.19        -
Fortinet        3.113.0.0        2008.09.19        -
GData        19        2008.09.19        -
Ikarus        T3.1.1.34.0        2008.09.19        -
K7AntiVirus        7.10.461        2008.09.18        -
Kaspersky        7.0.0.125        2008.09.19        -
McAfee        5387        2008.09.18        -
Microsoft        1.3903        2008.09.19        Trojan:Win32/Skintrim.gen!D
NOD32v2        3455        2008.09.19        -
Norman        5.80.02        2008.09.18        -
Panda        9.0.0.4        2008.09.19        -
PCTools        4.4.2.0        2008.09.18        -
Prevx1        V2        2008.09.19        -
Rising        20.62.42.00        2008.09.19        -
Sophos        4.33.0        2008.09.19        -
Sunbelt        3.1.1647.1        2008.09.18        -
Symantec        10        2008.09.19        -
TheHacker        6.3.0.9.087        2008.09.18        -
TrendMicro        8.700.0.1004        2008.09.19        -
VBA32        3.12.8.5        2008.09.18        -
ViRobot        2008.9.19.1383        2008.09.19        -
VirusBuster        4.5.11.0        2008.09.18        -
Webwasher-Gateway        6.6.2        2008.09.19        -
weitere Informationen
File size: 299008 bytes
MD5...: 6c2f2884406824ccd1ed32e2e55c08f0
SHA1..: f292cefa833af8db5c3b9c811e2a37f40d2d17f6
SHA256: 383f114a1fbf4603c2f630684cebb79a534a3652fc9bf67f59a3b935faf2130b
SHA512: 4dd2759fcc41d900f49baedd692e10b7112fa2975072f88e3ecb21e9d4e09263
5c60af009c33a6d29fb1484c8aef94fda4a58966e5d61610efe8b94c72abbf12
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401000
timedatestamp.....: 0x474957c3 (Sun Nov 25 11:08:51 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3a49f 0x3b000 7.37 ce524d1ca907af298157a36810dcea5c
.rdata 0x3c000 0x1120 0x2000 3.57 3b36c00b7e861af26ad3d5eefdc6f4f4
.data 0x3e000 0xa304 0xb000 3.98 f25f69b7c193257cf96425f8ba264a4f

( 10 imports )
> KERNEL32.dll: GetLargestConsoleWindowSize, GetBinaryTypeA, FindCloseChangeNotification, LocalReAlloc, FreeLibrary, GetDiskFreeSpaceW, SetCommTimeouts, ReadConsoleA, IsDBCSLeadByteEx, OpenSemaphoreW, SetEnvironmentVariableW, ExitProcess, MoveFileExA, LocalSize, SetFileAttributesA, LoadLibraryExA, PeekConsoleInputW, GlobalUnlock, _llseek, GetTickCount, SetConsoleOutputCP, LocalFileTimeToFileTime, lstrcmpA, GetShortPathNameA, GetDriveTypeW, GetStringTypeExW, FindFirstFileA, SetTimeZoneInformation, DuplicateHandle, SetupComm, ExpandEnvironmentStringsW, GetThreadPriority, GetLocaleInfoW, SetConsoleTitleA, GetPrivateProfileStringW, FindFirstFileW, FlushFileBuffers, IsBadReadPtr, DeleteCriticalSection, GetSystemDirectoryW, EnumCalendarInfoW, WritePrivateProfileStringA, ReadConsoleInputW, SetHandleCount, GetSystemDefaultLangID, ReadFileScatter, SetConsoleWindowInfo, GetEnvironmentStringsW, CloseHandle, MultiByteToWideChar, lstrcmpiA, GetFullPathNameA, SetThreadAffinityMask, SearchPathW, GetConsoleCursorInfo, GetCompressedFileSizeW, GlobalAddAtomA, SetThreadLocale, Beep, AllocConsole, _lclose, LocalAlloc, GetAtomNameA, VirtualProtect, GetVersionExA, FillConsoleOutputCharacterA, EnumResourceNamesW, FreeLibraryAndExitThread, GetNumberFormatW, GetCommandLineA, FormatMessageA, VirtualAlloc
> USER32.dll: GetWindowPlacement, GetMenuDefaultItem, AdjustWindowRect, DefMDIChildProcW, BeginDeferWindowPos, GetAsyncKeyState, GetParent, DrawCaption, AdjustWindowRectEx, SetWindowTextA, EndPaint, EnumDesktopsA, GetCapture, SetActiveWindow, EnumDisplaySettingsW, SetCaretBlinkTime, MessageBoxExA, ToUnicode, CreateDialogIndirectParamW, GetClipboardData, GetWindowInfo, CallWindowProcW, LoadAcceleratorsW, GetClassNameA, SetCapture, EnumWindows, SetMenuDefaultItem, OpenWindowStationW, InvertRect, GetCaretBlinkTime, CreateCursor, BeginPaint, ShowOwnedPopups, LoadBitmapW, SetClassLongW, MsgWaitForMultipleObjects, EnumDisplaySettingsExW, NotifyWinEvent, UnhookWindowsHookEx, LoadMenuIndirectA, GetKeyNameTextW, SetRectEmpty, CountClipboardFormats
> GDI32.dll: GetCurrentObject
> comdlg32.dll: GetSaveFileNameW, PageSetupDlgW, CommDlgExtendedError, ChooseFontW
> ADVAPI32.dll: GetSecurityDescriptorControl
> SHELL32.dll: SHBrowseForFolderA, SHAddToRecentDocs
> ole32.dll: OleCreateMenuDescriptor, ReadClassStg, CoInitializeEx
> OLEAUT32.dll: -, -, -, -, -, -, -
> COMCTL32.dll: ImageList_GetDragImage, ImageList_GetImageInfo
> SHLWAPI.dll: PathFindNextComponentW, UrlCanonicalizeW, SHCopyKeyA, PathIsFileSpecW, PathRelativePathToW, StrCatBuffW, ChrCmpIW, SHRegGetBoolUSValueA, StrTrimA, PathAddExtensionW, PathQuoteSpacesA, UrlCombineW, StrFormatByteSize64A, StrChrA, StrCmpNIW, StrToIntW

( 0 exports )
Das ist das erste..
Punkt 2 habe ich ausgefürt

MBR-Log
Code:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

cosinus 20.09.2008 11:02
Was ist mit den anderen Logs?


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:46 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131