Trojaner-Board
Seite 3 von 3 12 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Ständige Werbepopups ohne das der Browser offen ist?! (https://www.trojaner-board.de/68645-staendige-werbepopups-ohne-browser-offen.html)

Angelwhite 16.01.2009 17:56
Also bisher keine popups mehr. Mit der umbenannten HJT oder mit dem Normalen?

john.doe 16.01.2009 17:58
Egal. Wie du willst.

ciao, andreas

Angelwhite 16.01.2009 18:00
Hier der HJT Log-File

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:59:08, on 16.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
D:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\WINDOWS.0\system32\oodag.exe
C:\Programme\RichiStudios\Shutdown\service.exe
C:\WINDOWS.0\system32\svchost.exe
D:\Programme\Alwil Software\Avast4\ashMaiSv.exe
D:\Programme\Alwil Software\Avast4\ashWebSv.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\DSL-Manager\DslMgrSvc.exe
D:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.toggo.de/toggo.php?url=index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: (no name) - {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - (no file)
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS.0\system32\oodtray.exe
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs:  xyhcrd.dll 
O20 - Winlogon Notify: !saswinlogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Unknown owner - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - D:\Programme\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Unknown owner - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS.0\system32\oodag.exe
O23 - Service: RichiStudios Shutdown (RSShutdown) - RichiStudios - C:\Programme\RichiStudios\Shutdown\service.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\DSL-Manager\DslMgrSvc.exe

--
End of file - 5431 bytes

john.doe 16.01.2009 18:08
1.) Starte HJT => Do a system scan only => Markiere:
Code:
O2 - BHO: (no name) - {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - (no file)
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O20 - AppInit_DLLs: xyhcrd.dll
=> Fix checked

2.) Start => Ausführen => combofix /u (aufs Leerzeichen achten) => OK

3.) Alle Programme, die wir eingesetzt haben, können deinstalliert/gelöscht werden. Solltest du SuperAntiSpyware behalten wollen, dann deaktiviere den Wächter.

4.) Pflege dein System.
Installiere:
Windows XP Service Pack 3
Internet Explorer 7: Jetzt herunterladen

ciao, andreas

Angelwhite 16.01.2009 18:18
Ich danke für die umfassende und schnelle Hilfe :)
Ich werde demnächst besser drauf achten was und wo ich was anklicke.

Werde mir den Internet Explorer 7 soewie SP3 installieren muss ich sonst auf irgendwas achten oder kann ich die einfach so drüber installieren?

john.doe 16.01.2009 18:22
Zitat:
Ich werde demnächst besser drauf achten was und wo ich was anklicke.
Das will ich hoffen und wenn nicht *droh*, ich wohne in Wolfsburg.
Zitat:
Werde mir den Internet Explorer 7 soewie SP3 installieren muss ich sonst auf irgendwas achten oder kann ich die einfach so drüber installieren?
Einfach drüber. Sollte es Probleme geben, dann melde dich nochmal.

ciao, andreas

Angelwhite 16.01.2009 18:27
och nee :p da mach ich praktikum ;)

Hab da noch mal eine andere frage, woran könnte es liegen, das mir ab und an einfach der rechner von alleine neu hochfährt?

john.doe 16.01.2009 18:32
Zitat:
Hab da noch mal eine andere frage, woran könnte es liegen, das mir ab und an einfach der rechner von alleine neu hochfährt?
Falls es nach längerer Zeit oder beim intensiven Arbeiten passiert, könnte das ein Temperaturproblem sein.

Falls der Rechner älter ist, dann reinige alle Lüfter. Die Temperaturen kannst du im BIOS sehen oder mit Programmen wie Everest oder Speedfan. Genauer geht es mit den Tools vom Hersteller des Mainboards.

ciao, andreas

Angelwhite 16.01.2009 18:42
älter ist gut, glaube schon 5-7 jahre alt lüfter werden aber 1x im monat gereinigt dazu hab ich ihn mal offen gelassen seit ein paar tagen oder ist das eher weniger gut?

john.doe 16.01.2009 18:58
Zitat:
werden aber 1x im monat gereinigt
http://www.cosgan.de/images/smilie/liebe/n020.gif
Zitat:
dazu hab ich ihn mal offen gelassen seit ein paar tagen oder ist das eher weniger gut?
Dazu gibt es unterschiedliche Aussagen. Meiner ist auch immer offen, aber mehr aus Faulheit, weil ich häufiger die Festplatten wechsele.

ciao, andreas

Angelwhite 16.01.2009 19:27
Dachte mir das er dann wegen der zirkulation nicht so schnell warm wird...
Naja erst mal abwarten, denke was anderes kann ich da nicht machen

Angelwhite 16.01.2009 22:15
Habe eben noch mal gescannt kam dann folgendes

Malwarebytes Log:

Code:
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1656
Windows 5.1.2600 Service Pack 2

16.01.2009 22:15:01
mbam-log-2009-01-16 (22-15-01).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 61832
Laufzeit: 6 minute(s), 56 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> Delete on reboot.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Hatte den zwischenzeitlich neu gestartet und den scan danach zur kontrolle nochmals ausgeführt und habe ihn immer noch, was kann ich da nun tun?

LG

john.doe 16.01.2009 22:33
Das ist nur ein Registryeintrag. Der bewirkt nichts. Lade dir den Regseeker

http://www.hoverdesk.net/images/reg-find.jpg
  • Klick auf Clean the registry
  • Klick auf OK
  • Warte bis er fertig gesucht hat
  • Klick auf Select => markiere nur die Grünen
  • Klick auf Action => Delete

ciao, andreas

Angelwhite 16.01.2009 22:40
Soll ich danach noch mal zur sicherheit einen scan mit malwarebytes machen?

john.doe 16.01.2009 22:45
Klar, das kann sein, dass du es häufiger machen musst. Ist bei der Registry so. Reinige die Registry auch noch mehrfach mit dem CCleaner, solange, bis keine Fehler mehr gefunden werden.

ciao, andreas


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:07 Uhr.
Seite 3 von 3 12 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131