Werbepopup bei Start

[VoiVod]

Hallo,

habe bereits alles mit HijackThis überprüft und "böses" nach der Onlineauswertung gefixt. Die unnötige Browsertoolbar z.B. bin ich losgeworden.
Nur ein kleines Problem besteht nachwievor: Beim Starten des PCs erscheint sofort ein Werbefenster mit den üblichen Menüs (Gambling, Pharmacy etc.). Könnt ihr mir da weiterhelfen? Schonmal vielen Dank!


Das Logfile:

Code:

Logfile of HijackThis v1.99.1
Scan saved at 20:47:27, on 29.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Tiny Personal Firewall\agentw.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Borland\InterBase\bin\ibguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Borland\InterBase\bin\ibserver.exe
C:\Program Files\mIRC\mirc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Markus Rodenberg\Eigene Dateien\Verschiedenes\Sicherheit\HijackThis.exe

R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [UMXLDR] "C:\Programme\Tiny Personal Firewall\umxldrw.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O23 - Service: Personal Firewall Agent Service (agentsvc) - Securitae - C:\Programme\Tiny Personal Firewall\agentw.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibserver.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

[Speedy]

hi

downlaod den ccleaner, installieren, starten -> unter options settings -> german einstellen, nun bereinige damit dein system (windows, applications, registry) (quick-tour und screenshots), die temp. ordner überprüfen, notfalls im abgesicherten modus leeren, mistküble leeren
downlaod von datfindbat, führe es nach anleitung aus und poste den inhalt der erstellten logfiles (das werden 4 stück, wobei von c:\windows\system32 nur die letzten 30 tage gepostet werden sollten)

[VoiVod]

Die 4 Logfiles, mehr war innerhalb des 3Monats-Zeitraums nicht zu finden:



Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 30D9-2DCC

Verzeichnis von C:\WINDOWS\system32

29.12.2005 20:10 4.984 close.bmp
29.12.2005 20:10 19.712 insurance.bmp
29.12.2005 20:10 11.772 spyware.bmp
29.12.2005 20:10 21.224 xxx.bmp
29.12.2005 20:10 21.872 pharmacy.bmp
29.12.2005 20:10 21.872 dating.bmp
29.12.2005 20:10 23.480 gambling.bmp
29.12.2005 20:10 387 idesk.conf
29.12.2005 17:05 155.648 bzydp.dll
28.12.2005 11:31 2.206 wpa.dbl


------------------------------------------------


Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 30D9-2DCC

Verzeichnis von C:\DOKUME~1\MARKUS~1\LOKALE~1\Temp

28.09.2001 17:00 164.864 GLB1A2B.EXE
1 Datei(en) 164.864 Bytes
0 Verzeichnis(se), 101.018.157.056 Bytes frei


-------------------------------------------------

Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 30D9-2DCC

Verzeichnis von C:\WINDOWS

29.12.2005 21:45 157 wiadebug.log
29.12.2005 21:45 50 wiaservc.log
29.12.2005 21:45 1.089.170 WindowsUpdate.log
29.12.2005 21:45 2.048 bootstat.dat
29.12.2005 21:44 32.616 SchedLgU.Txt
29.12.2005 19:55 840 win.ini
29.12.2005 19:55 267 system.ini
29.12.2005 18:38 1.125 Winamp.ini
29.12.2005 17:12 4.517 rdt.ini
29.12.2005 17:06 6.400 balloon.wav
29.12.2005 16:53 54.156 QTFont.qfn
20.12.2005 12:24 100.482 UninstallThunderbird.exe
20.12.2005 12:24 11.631 mozver.dat
18.12.2005 18:07 1.409 QTFont.for
09.10.2005 22:04 52.736 ipuninst.exe
11.08.2005 21:21 972 scummvm.ini


----------------------------------------------


Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 30D9-2DCC

Verzeichnis von C:\

29.12.2005 21:56 0 sys.txt
29.12.2005 21:55 5.577 system.txt
29.12.2005 21:54 289 systemtemp.txt
29.12.2005 21:54 99.546 system32.txt
29.12.2005 21:45 402.653.184 pagefile.sys
29.12.2005 19:55 194 boot.ini

[Speedy]

hi

downlaod von regsuprem 30 tage trialversion
installiere das programm
starte das programm -> language -> german auswählen, beenden

wechsle in den abgesicherten modus von windows und benenne folgende dateien von C:\WINDOWS\system32 um

29.12.2005 20:10 4.984 close.bmp --> _close.bmp
29.12.2005 20:10 19.712 insurance.bmp --> _insurance.bmp
29.12.2005 20:10 11.772 spyware.bmp --> _spyware.bmp
29.12.2005 20:10 21.224 xxx.bmp -> auch hier
29.12.2005 20:10 21.872 pharmacy.bmp -> und hier
29.12.2005 20:10 21.872 dating.bmp -> und hier
29.12.2005 20:10 23.480 gambling.bmp -> und hier
29.12.2005 20:10 387 idesk.conf --> _idesk.conf
29.12.2005 17:05 155.648 bzydp.dll --> _bzydp.dll

C:\WINDOWS


29.12.2005 17:06 6.400 balloon.wav --> _balloon.wav

starte regsuprem
um die bereinigung der registrierdatenbank zu .... -> bestätigen !
wähle bei untersuchung zuerst gründlich und drücke den button start
wähle nun beheben und gib der sicherungsdatei einen aussagekräftigen namen
beende das programm, wechsle in den normalen modus von windows und

beim ausführen dieser beiden tools, sollte der rechner vom netz genommen werden und der hintergrundwächter eines malwarescanners deaktiviert sein (es gibt nicht nur antivirenprogramme!). Achtung: auch keine anderen aktivitäten ausführen!
bitte dieses tool rootkitrevealer in den ordner C:\Programme\RootkitRevealer downloaden, da es eine gezippte datei ist, hier entpacken wählen, nun das programm durch einen doppelklick auf die datei RootkitRevealer.exe starten und durch drücken des buttons scan die systemüberprüfung beginnen. wenn der scan beendet ist, das logfile unter file -> save im ordner C:\Programme\RootkitRevealer speichern. den inhalt hier posten. p.s. das logfile muss im selben ordner gespeichert werden, aus dem das programm gestartet wird.
-----------------------------------
download von f-secure-blacklight, in den ordner C:\Programme\F-Secure\ starte das programm durch einen doppelklick auf die datei blbeta.exe, stimme der vereinbarung zu, starte weiter mit scan, wenn der 1.schritt erledigt ist, wähle den button next und bereinige das system von den funden. poste den inhalt des logfile, das als fsbl-0000000000000.txt im selben ordner gespeichert wurde.
----------------------------------

hat sich schon etwas verändert ?

[VoiVod]

Hallo,

Hat soweit alles geklappt. der RootkitRevealer hat nichts gefunden, also auch kein log, bei dem anderen kam eins raus, das im folgenden poste. Der Neustart hat aber ergeben: Keine Werbung mehr

Schonmal vielen herzlichen Dank!



12/29/05 23:35:21 [Info]: BlackLight Engine 1.0.30 initialized
12/29/05 23:35:21 [Info]: OS: 5.1 build 2600 (Service Pack 1)
12/29/05 23:35:22 [Note]: 7019 4
12/29/05 23:35:22 [Note]: 7005 0
12/29/05 23:35:25 [Note]: 7006 0
12/29/05 23:35:25 [Note]: 7011 1256
12/29/05 23:35:26 [Note]: FSRAW library version 1.7.1014
12/29/05 23:35:41 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
12/29/05 23:35:41 [Note]: 10002 1
12/29/05 23:35:42 [Info]: Hidden file: C:\WINDOWS\system32\idemlog.exe
12/29/05 23:35:42 [Note]: 10002 1
12/29/05 23:35:43 [Info]: Hidden file: C:\WINDOWS\system32\cscnk.exe
12/29/05 23:35:43 [Note]: 7002 32
12/29/05 23:35:43 [Note]: 7003 1
12/29/05 23:35:43 [Note]: 10002 1
12/29/05 23:35:44 [Info]: Hidden file: C:\WINDOWS\system32\favset.exe
12/29/05 23:35:44 [Note]: 10002 1
12/29/05 23:35:44 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe
12/29/05 23:35:44 [Note]: 10002 1
12/29/05 23:35:44 [Info]: Hidden file: C:\WINDOWS\system32\howiper.exe
12/29/05 23:35:44 [Note]: 10002 1
12/29/05 23:35:47 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe
12/29/05 23:35:47 [Note]: 10002 1
12/29/05 23:35:49 [Info]: Hidden file: C:\WINDOWS\system32\dmsbe.exe
12/29/05 23:35:49 [Note]: 7002 32
12/29/05 23:35:49 [Note]: 7003 1
12/29/05 23:35:49 [Note]: 10002 1
12/29/05 23:37:44 [Note]: 7007 0

[Speedy]

hi,

erstelle mit dem eyplorer einen neuen ordner c:\boese
wechsle in den abgesicherten modus
start - ausführen - cmd [enter]
gib in diesem dos fenster folgenden text ein:
move C:\WINDOWS\system32\wbem\wbemtest.exe C:\boese [enter]

wiederhole das mit den restlichen dateien
C:\WINDOWS\system32\idemlog.exe
C:\WINDOWS\system32\cscnk.exe
C:\WINDOWS\system32\favset.exe
C:\WINDOWS\system32\filesafer23.exe
C:\WINDOWS\system32\howiper.exe
C:\WINDOWS\system32\pppcgm.exe
C:\WINDOWS\system32\dmsbe.exe

lass regsuprem neuerlich laufen und wechsle zurück in den normalen modus

scanne neuerlich mit f-secure, poste das logfile

und poste 4 aktuelle logfiles von datfindbat

[VoiVod]

Hallo,

F-Secure hat wohl nichts gefunden.

12/30/05 00:42:46 [Info]: BlackLight Engine 1.0.30 initialized
12/30/05 00:42:46 [Info]: OS: 5.1 build 2600 (Service Pack 1)
12/30/05 00:42:49 [Note]: 7019 4
12/30/05 00:42:49 [Note]: 7005 0
12/30/05 00:42:52 [Note]: 7006 0
12/30/05 00:42:52 [Note]: 7011 1220
12/30/05 00:42:52 [Note]: FSRAW library version 1.7.1014
12/30/05 00:43:30 [Note]: 7007 0

----------------------------------------------------------------



Hier noch die 4 Logs von datfind:


Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 30D9-2DCC

Verzeichnis von C:\WINDOWS\system32

29.12.2005 23:27 4.984 close.bmp
29.12.2005 23:27 19.712 insurance.bmp
29.12.2005 23:27 11.772 spyware.bmp
29.12.2005 23:27 21.224 xxx.bmp
29.12.2005 23:27 21.872 pharmacy.bmp
29.12.2005 23:27 21.872 dating.bmp
29.12.2005 23:27 23.480 gambling.bmp
29.12.2005 23:27 387 idesk.conf
29.12.2005 23:11 4.984 _close.bmp
29.12.2005 23:11 19.712 _insurance.bmp
29.12.2005 23:11 11.772 _spyware.bmp
29.12.2005 23:11 21.224 _xxx.bmp
29.12.2005 23:11 21.872 _pharmacy.bmp
29.12.2005 23:11 21.872 _dating.bmp
29.12.2005 23:11 23.480 _gambling.bmp
29.12.2005 23:11 387 _idesk.conf
29.12.2005 23:03 5 SndDrv32ds_g.ods
29.12.2005 23:03 5 AuxDrv32ds_g.ods
29.12.2005 17:05 155.648 _bzydp.dll
28.12.2005 11:31 2.206 wpa.dbl
30.10.2005 12:56 39.992 perfc009.dat
30.10.2005 12:56 316.594 perfh007.dat
30.10.2005 12:56 311.604 perfh009.dat
30.10.2005 12:56 48.156 perfc007.dat
30.10.2005 12:56 723.744 PerfStringBackup.INI

-----------------

Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 30D9-2DCC

Verzeichnis von C:\DOKUME~1\MARKUS~1\LOKALE~1\Temp

------------------

Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 30D9-2DCC

Verzeichnis von C:\WINDOWS

30.12.2005 00:41 0 0.log
30.12.2005 00:41 159 wiadebug.log
30.12.2005 00:41 50 wiaservc.log
30.12.2005 00:41 1.154.466 WindowsUpdate.log
30.12.2005 00:41 2.048 bootstat.dat
30.12.2005 00:41 198.920 ntbtlog.txt
30.12.2005 00:20 32.616 SchedLgU.Txt
30.12.2005 00:13 1.125 Winamp.ini
29.12.2005 19:55 840 win.ini
29.12.2005 19:55 267 system.ini
29.12.2005 17:12 4.517 rdt.ini
29.12.2005 17:06 6.400 _balloon.wav
29.12.2005 16:53 54.156 QTFont.qfn
20.12.2005 12:24 100.482 UninstallThunderbird.exe
20.12.2005 12:24 11.631 mozver.dat
18.12.2005 18:07 1.409 QTFont.for
09.10.2005 22:04 52.736 ipuninst.exe

-------------------------

Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 30D9-2DCC

Verzeichnis von C:\

30.12.2005 00:47 0 sys.txt
30.12.2005 00:47 5.670 system.txt
30.12.2005 00:47 129 systemtemp.txt
30.12.2005 00:46 100.051 system32.txt
30.12.2005 00:41 402.653.184 pagefile.sys
29.12.2005 19:55 194 boot.ini
29.08.2002 02:05 235.296 ntldr
28.08.2002 22:08 47.580 NTDETECT.COM
20.05.2002 11:03 0 IO.SYS
20.05.2002 11:03 0 CONFIG.SYS
20.05.2002 11:03 0 MSDOS.SYS
20.05.2002 11:03 0 AUTOEXEC.BAT
23.08.2001 15:00 4.952 bootfont.bin
23.08.2001 15:00 161.792 boses
24.05.2001 11:59 162.304 UNWISE.EXE
15 Datei(en) 403.371.152 Bytes
0 Verzeichnis(se), 101.001.498.624 Bytes frei

[Speedy]

hi

wechsle in den abgesicherten modus von windows: PC einschalten, warten bis die meldung "windows wird gestartet..." am bildschirm erscheint, nun drücke sofort die taste [F8]. es erscheint ein start-menü im textmodus. wählen hier "abgesichert" bzw. "abgesicherter modus" und bestätigen dies mit der [eingabe]-taste. win95 win98/ME win2000 winxp und

HijackThis-> config -> misc tools --> delete a file on reboot, wähle die zu löschende datei, die frage zum neustart mit nein beantworten, wieder delete a file on reboot wählen, nächste datei auswählen usw., bis du die letzte dateie ausgewählt hast, nun antwortest du auf die frage zum neustart mit JA


C:\WINDOWS\system32

29.12.2005 23:27 4.984 close.bmp
29.12.2005 23:27 19.712 insurance.bmp
29.12.2005 23:27 11.772 spyware.bmp
29.12.2005 23:27 21.224 xxx.bmp
29.12.2005 23:27 21.872 pharmacy.bmp
29.12.2005 23:27 21.872 dating.bmp
29.12.2005 23:27 23.480 gambling.bmp
29.12.2005 23:27 387 idesk.conf
29.12.2005 23:11 4.984 _close.bmp
29.12.2005 23:11 19.712 _insurance.bmp
29.12.2005 23:11 11.772 _spyware.bmp
29.12.2005 23:11 21.224 _xxx.bmp
29.12.2005 23:11 21.872 _pharmacy.bmp
29.12.2005 23:11 21.872 _dating.bmp
29.12.2005 23:11 23.480 _gambling.bmp
29.12.2005 23:11 387 _idesk.conf
29.12.2005 23:03 5 SndDrv32ds_g.ods
29.12.2005 23:03 5 AuxDrv32ds_g.ods
29.12.2005 17:05 155.648 _bzydp.dll

C:\WINDOWS

30.12.2005 00:41 0 0.log
29.12.2005 17:12 4.517 rdt.ini
29.12.2005 17:06 6.400 _balloon.wav

wechsle sofort wieder in den abgesicherten modus und lass regsuprem neuerlich laufen, dann wechsel in den erweiterten modus, lass datfindbat laufen und poste die 4 logfiles

[VoiVod]

Hallo,
hier die 4 Logfiles:


Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 30D9-2DCC

Verzeichnis von C:\WINDOWS\system32

30.12.2005 01:35 5 SndDrv32ds_g.ods
30.12.2005 01:35 5 AuxDrv32ds_g.ods
28.12.2005 11:31 2.206 wpa.dbl
30.10.2005 12:56 311.604 perfh009.dat
30.10.2005 12:56 39.992 perfc009.dat
30.10.2005 12:56 316.594 perfh007.dat
30.10.2005 12:56 48.156 perfc007.dat
30.10.2005 12:56 723.744 PerfStringBackup.INI

----------------------------------

Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 30D9-2DCC

Verzeichnis von C:\DOKUME~1\MARKUS~1\LOKALE~1\Temp

30.12.2005 01:23 16.384 ~DFDB36.tmp
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 101.002.792.960 Bytes frei

--------------------------------

Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 30D9-2DCC

Verzeichnis von C:\WINDOWS

30.12.2005 01:37 0 0.log
30.12.2005 01:37 157 wiadebug.log
30.12.2005 01:37 1.171.668 WindowsUpdate.log
30.12.2005 01:37 50 wiaservc.log
30.12.2005 01:36 2.048 bootstat.dat
30.12.2005 01:36 387.752 ntbtlog.txt
30.12.2005 01:21 32.616 SchedLgU.Txt
30.12.2005 00:13 1.125 Winamp.ini
29.12.2005 19:55 840 win.ini
29.12.2005 19:55 267 system.ini
29.12.2005 16:53 54.156 QTFont.qfn
20.12.2005 12:24 100.482 UninstallThunderbird.exe
20.12.2005 12:24 11.631 mozver.dat
18.12.2005 18:07 1.409 QTFont.for
09.10.2005 22:04 52.736 ipuninst.exe

------------------------------------

Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 30D9-2DCC

Verzeichnis von C:\

30.12.2005 01:39 0 sys.txt
30.12.2005 01:39 5.575 system.txt
30.12.2005 01:39 289 systemtemp.txt
30.12.2005 01:38 99.219 system32.txt
30.12.2005 01:36 402.653.184 pagefile.sys
29.12.2005 19:55 194 boot.ini

[Speedy]

hi, noch probleme ?

diese datei(en) hier bei virustotal und (hijackthis bzw. bei Jotti) überprüfen lassen, ergebnis (egal wie es aussieht) posten.

C:\WINDOWS\system32

30.12.2005 01:35 5 SndDrv32ds_g.ods
30.12.2005 01:35 5 AuxDrv32ds_g.ods