nervige Pop-ups bei IE und Firefox

Martin Schmitz

Mit der riesen Bitte um Auswertung durch das PPF MALWARE TEAM:

Ich habe seit ca. 2 Monaten das gleiche, für mich unlösbare Problem, wie unter http://www.paules-pc-forum.de/phpBB2/ptopic,704757.html bereits angesprochen, nur, dass ich mir nicht bewusst bin, irgendwann einmal etwas angeklickt zu haben. Weder Ad-Aware 2007 SE noch Antivir PE Classic noch die Online-Scanner von Bitderfender, Kaspersky und Windows Defender haben mir geholfen. Auch nach Durchführung des beschriebenen Ablaufs poppen die diversen Fenster auf.

Hier die Reporte:

+++++++++++++++++++++++++++++++++++++

a-squared Free - Version 2

Scan settings:

Objects: Memory, Traces, Cookies
Scan archives: On
Heuristics: Off
ADS Scan: On

Scan start: 30.12.2007 14:47:46

Scanned

Files: 3143
Traces: 153959
Cookies: 63
Processes: 66

Found

Files: 0
Traces: 1
Cookies: 10
Processes: 0

Scan end: 30.12.2007 14:50:34
Scan time: 00:02:48

++++++++++++++++++++++++++++++++++++++

---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 15:43:39 30.12.2007

+ Scan-Ergebnis:

C:\Dokumente und Einstellungen\Toshiba\Cookies\toshiba@doubleclick[1].txt -> TrackingCookie.Doubleclick : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Toshiba\Cookies\toshiba@tribalfusion[2].txt -> TrackingCookie.Tribalfusion : Keine Aktion durchgeführt.

::Berichtende

++++++++++++++++++++++++++++++++++++++++++++

Search Navipromo version 3.3.8 commencé le 30.12.2007 à 17:17:09,35

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Programme\navilog1
Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO

Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Programme ***

*** Recherche dossiers dans C:\DOKUME~1\ALLUSE~1\ANWEND~1 ***

*** Recherche dossiers dans "C:\Dokumente und Einstellungen\Tosh

++++++++++++++++++++++++++++++++++++++++++

Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****

30.12.2007 WindowsUpdate.log 17 13:1.503.669
30.12.2007 wiadebug.log 12 44:159
30.12.2007 wiaservc.log 12 44:50
Software 30.12.2007 ModemLog_TOSHIBA 12 44:4.252
30.12.2007 bootstat.dat 12 42:2.048
30.12.2007 SchedLgU.Txt 12 42:32.634
22.12.2007 mozregistry.dat 14 51:335
16.12.2007 pavsig.txt 17 58:32
16.12.2007 win.ini 17 40:687
25.06.2007 mozver.dat 19 38:5.123
13.06.2007 explorer.exe 14 21:1.036.288
25.02.2007 tdf.dii 15 31:35
01.02.2007 setupapi.log.0.old 19 18:1.105.406
27.01.2007 hpfsched.ini 13 10:192
15.01.2007 mgxoschk.ini 20 54:6.537
09.01.2007 uinst001.exe 22 05:69.632
30.12.2006 AWMODEM.INF 15 31:1.071
25.12.2006 nsreg.dat 12 15:0
13.12.2006 system.ini 13 04:231
21.07.2006 wininit.ini 10 41:385
21.07.2006 WMSysPr9.prx 10 08:316.640
21.07.2006 REGLOCS.OLD 08 16:8.192
13.07.2006 smscfg.ini 09 32:61
12.07.2006 ODBC.INI 13 21:400
12.07.2006 NDSTray.INI 11 00:0
28.06.2006 Sti_Trace.log 16 07:0
28.06.2006 control.ini 15 14:0

Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****

30.12.2007 wpa.dbl 12 44:1.158
21.12.2007 jupdate-1.6.0_03-b05.log 17 41:5.628
16.12.2007 Uninstall.ico 17 58:2.550
16.12.2007 Help.ico 17 58:1.406
16.12.2007 asfiles.txt 17 42:0
12.12.2007 TZLog.log 19 41:387.268
04.12.2007 FNTCACHE.DAT 17 34:243.128
03.12.2007 jupdate-1.6.0_02-b05.log 22 03:5.156
03.12.2007 perfh009.dat 20 53:438.036
03.12.2007 perfh007.dat 20 53:455.152
03.12.2007 perfc009.dat 20 53:71.130
03.12.2007 perfc007.dat 20 53:83.998
03.12.2007 PerfStringBackup.INI 20 53:1.062.166
03.12.2007 MRT.exe 00 00:18.684.536
18.11.2007 nvs2.inf 18 08:22
13.11.2007 tzchange.exe 12 31:60.416
31.10.2007 mshtml.dll 00 19:3.590.656
29.10.2007 quartz.dll 23 35:1.293.312
29.10.2007 xpsp3res.dll 16 07:373.760
25.10.2007 shell32.dll 17 42:8.501.248
25.10.2007 wmasf.dll 09 28:222.720
21.10.2007 UCLiveCtrl.ocx 19 24:577.536
21.10.2007 UCLiveCore.dll 19 24:159.744
21.10.2007 UCLiveSocket.dll 18 33:241.664
17.10.2007 results.txt 14 17:308
11.10.2007 LegitCheckControl.dll 14 12:1.468.968
11.10.2007 urlmon.dll 00 46:1.159.680
11.10.2007 webcheck.dll 00 46:232.960
11.10.2007 wininet.dll 00 46:824.832
11.10.2007 url.dll 00 46:105.984
11.10.2007 occache.dll 00 46:102.400
11.10.2007 mstime.dll 00 46:671.232
11.10.2007 msrating.dll 00 46:193.024
11.10.2007 mshtmled.dll 00 46:478.208
11.10.2007 inetcpl.cpl 00 46:1.831.424
11.10.2007 msfeedsbs.dll 00 46:52.224
11.10.2007 msfeeds.dll 00 46:459.264
11.10.2007 jsproxy.dll 00 46:27.648
11.10.2007 iertutil.dll 00 46:267.776
11.10.2007 iernonce.dll 00 46:44.544
11.10.2007 ieframe.dll 00 46:6.065.664
11.10.2007 iedkcs32.dll 00 46:384.512
11.10.2007 advpack.dll 00 46:124.928
11.10.2007 icardie.dll 00 46:63.488
11.10.2007 ieapfltr.dll 00 46:383.488
11.10.2007 extmgr.dll 00 46:132.608
11.10.2007 ieaksie.dll 00 46:230.400

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****

Abbildname PID Sitzungsname Sitz.-Nr. Speichernutzung
========================= ===== ================ ========== ===============
System Idle Process 0 Console 0 16 K
System 4 Console 0 640 K
smss.exe 824 Console 0 504 K
csrss.exe 888 Console 0 8.364 K
winlogon.exe 952 Console 0 29.428 K
services.exe 996 Console 0 7.716 K
lsass.exe 1008 Console 0 20.264 K
ati2evxx.exe 1180 Console 0 5.864 K
svchost.exe 1212 Console 0 18.332 K
svchost.exe 1308 Console 0 16.460 K
MsMpEng.exe 1368 Console 0 44.288 K
svchost.exe 1412 Console 0 60.032 K
EvtEng.exe 1496 Console 0 19.120 K
S24EvMon.exe 1552 Console 0 16.844 K
svchost.exe 1740 Console 0 10.692 K
svchost.exe 1784 Console 0 14.740 K
aawservice.exe 208 Console 0 46.516 K
ati2evxx.exe 544 Console 0 8.484 K
explorer.exe 628 Console 0 93.316 K
spoolsv.exe 744 Console 0 21.988 K
avguard.exe 808 Console 0 1.064 K
sched.exe 1736 Console 0 9.200 K
IGDCTRL.EXE 1820 Console 0 8.616 K
CFSvcs.exe 1872 Console 0 10.688 K
DVDRAMSV.exe 2032 Console 0 4.524 K
ehrecvr.exe 160 Console 0 16.920 K
ehtray.exe 168 Console 0 24.616 K
CLI.exe 184 Console 0 74.788 K
ehSched.exe 196 Console 0 7.040 K
SynTPEnh.exe 248 Console 0 11.124 K
agrsmmsg.exe 324 Console 0 10.252 K
GoogleUpdaterService.exe 356 Console 0 196 K
THotkey.exe 504 Console 0 12.748 K
Toshiba.exe 556 Console 0 12.492 K
RegSrvc.exe 564 Console 0 9.880 K
TAPPSRV.exe 908 Console 0 4.148 K
X10nets.exe 1244 Console 0 11.256 K
NDSTray.exe 1776 Console 0 31.668 K
SmoothView.exe 1304 Console 0 8.864 K
TFncKy.exe 2080 Console 0 12.080 K
TPSBattM.exe 2096 Console 0 9.848 K
TvsTray.exe 2092 Console 0 10.576 K
DLACTRLW.EXE 2112 Console 0 12.316 K
ZCfgSvc.exe 2156 Console 0 20.860 K
iFrmewrk.exe 2172 Console 0 29.840 K
realsched.exe 2204 Console 0 152 K
RTHDCPL.exe 2292 Console 0 41.472 K
jusched.exe 2392 Console 0 10.156 K
avgnt.exe 2424 Console 0 856 K
MSASCui.exe 2440 Console 0 34.960 K
ctfmon.exe 2464 Console 0 12.956 K
TOSCDSPD.exe 2528 Console 0 9.860 K
eafbazg.exe 2564 Console 0 63.692 K
GoogleUpdater.exe 2596 Console 0 420 K
RAMASST.exe 2612 Console 0 10.036 K
FwebProt.exe 2644 Console 0 21.108 K
StCenter.exe 2976 Console 0 12.640 K
dllhost.exe 3580 Console 0 15.924 K
ehmsas.exe 3920 Console 0 8.284 K
alg.exe 3992 Console 0 15.052 K
Dot1XCfg.exe 3208 Console 0 22.696 K
CLI.exe 3160 Console 0 63.056 K
CLI.exe 3256 Console 0 54.200 K
svchost.exe 2808 Console 0 15.580 K
iexplore.exe 2356 Console 0 70.604 K
igfxsrvc.exe 5212 Console 0 8.544 K
wscntfy.exe 2476 Console 0 12.716 K
guard.exe 5772 Console 0 26.904 K
firefox.exe 3928 Console 0 61.240 K
cmd.exe 3804 Console 0 2.232 K
tasklist.exe 128 Console 0 4.536 K
wmiprvse.exe 4624 Console 0 5.876 K

Microsoft Windows XP [Version 5.1.2600]

http://www.paules-pc-forum.de
***** Malware Team *****

***** Ende des Scans 30.12.2007 um 17:22:02,37 ***

+++++++++++++++++++++++++++++++++++++++++++++

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 17:23:39, on 30.12.2007

Werbepost

Hallo!

Wenn du gerade an deiner Website arbeitest oder dein aktuelles Hosting überdenkst: Wir betreiben mit NetzLiving eine Hosting-Plattform, die speziell auf Performance, Sicherheit und einfache Verwaltung ausgelegt ist.

✔️ Schnelle Ladezeiten (optimiert für WordPress, WoltLab & Co.)
✔️ Deutsche Server & DSGVO-konform
✔️ Persönlicher Support (kein 0815-Ticket-System)

Mehr erfahren

Wenn du Fragen hast, kannst du dich gerne jederzeit an @Maximilian Rupp wenden

Hinweis:

pcfreak

Ich sehe es mir mal an

Martin Schmitz

Vielen Dank schon mal dafür.

Gruß
Martin

pcfreak

Los geht's.
Folgende Dateien bei Virustotal hochladen, und das Ergebnis posten.

Zitat

C:\Windows\tdf.dii
C:\Windows\hpfsched.ini
C:\Windows\mgxoschk.ini
C:\Windows\uinst001.exe
C:\Windows\system.ini
C:\Windows\wininit.ini
C:\Windows\REGLOCS.OLD
C:\Windows\smscfg.ini
C:\Windows\ODBC.INI
C:\Windows\NDSTray.INI
C:\Windows\control.ini
C:\Windows\system32\nvs2.inf
C:\Windows\system32\tzchange.exe
C:\Windows\system32\quartz.dll
C:\Windows\system32\wmasf.dll
C:\Windows\system32\UCLiveCtrl.ocx
C:\Windows\system32\UCLiveCore.dll
C:\Windows\system32\UCLiveSocket.dll
C:\Windows\system32\wininet.dll
C:\Windows\system32\advpack.dll
C:\Windows\system32\iedkcs32.dll
C:\Windows\system32\icardie.dll
C:\Windows\system32\ieapfltr.dll
C:\Windows\system32\extmgr.dll
C:\Windows\system32\ieaksie.dll

Alles anzeigen

Die Dateien auch per Mail in einem ZIP-Ordner an MalwareTEAM@t-online.de senden.
Betreff: malware ppf Martin Schmitz

Mit HijackThis fixen

Zitat

O16 - DPF: {070CA17A-4BD2-4612-83B4-32B1B9159B47} (ULiveCtrl Control) - http://uc.sina.com.cn/download/live/weblive2.4.0.0.cab

CounterSpy
Laden, installieren, Update, NICHT SCANNEN

Boote nun in den abgesicherten Modus (bei Neustart F8 drücken)
http://www2.tu-berlin.de/www/software/virus/savemode.shtml

Starte CounterSpy, voller Scan, alle Funde löschen, dazu wähle immer REMOVE

Neustart Normalstart

Poste nun den Report von CounterSpy

Hinweis:
Scanreport finden:
klicke : View details

diesen Report kann man abkopieren: [mit der linken Maus-Taste über den Text fahren -> rechte Maustaste -> kopieren -> hier im Thread -> rechte Maustaste -> einfügen]

Onlinescans:

Panda Totalscan----->Kompletter Scan
Kapsersky Online Scanner---> Scan my Computer/Arbeitsplatz untersuchen

Die Reporte der Scans speichern und posten.
Hinweis: Eventuell wird dein Virenscanner eine Warnmeldung ausgeben. Diese ignorieren/übergehen!

Neuer WindowsScan Report, neuer HijackThis Log, neuer Navilog Report.

Martin Schmitz

Okay, hier kommen die Reporte. Beim letzten Kaspersky-Scan habe ich aber einen Fehler gemacht. Weil ich zwischendurch unterwegs war, habe ich zwei 'Funde' gelöscht, die ich nur hätte ignorieren müssen. Der eine Fund war von Panda Security und der zweite von [???] Navilog1[???]. Ich habe dann kurz danach - das kommt davon, wenn man erst handelt und dann denkt - den Scan gestoppt und von neuem begonnen.

Nach all den Scans besteht das Problem aber leider immer noch.

Daher noch eine Frage zu meinem Problem:
Zwischendurch habe ich mitbekommen, dass infizierte Dateien nicht gelöscht werden konnten, z.B. ist der WebMediaPlayer betroffen, den ich mir zwischen Ende September und Mitte November runtergeladen hatte, weil ich nach Champions League im Internet-TV gesucht hatte. Da er nicht richtig funktionierte, habe ich ihn spätestens nach einer Woche wieder deinstalliert. Auch der SINA-Player (gleicher Downloadgrund, gleiche Zeit) ist wohl ein Problemfall.
Würden die eingefangenen Dateien beseitigt werden, wenn ich mein Laptop auf einen früheren Installationszeitpunkt (z.B. August) zurücksetze, zu dem ich dieses Pop-up-Problem noch nicht hatte?

+++++++++++++++++++++++++++++++++++++++++++++++

Reporte:

###############################################

VirusTotal:

Datei tdf.dii empfangen 2007.12.30 18:20:27 (CET)
Status: Beendet
Ergebnis: 0/32 (0.00%)

Datei hpfsched.ini empfangen 2007.12.30 18:43:20 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Datei mgxoschk.ini empfangen 2007.12.30 19:15:46 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Datei uinst001.exe empfangen 2007.12.30 19:30:55 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Datei system.ini empfangen 2007.12.27 19:59:49 (CET)
Status: Beendet
Ergebnis: 0/32 (0.00%)

Datei wininit.ini empfangen 2007.12.30 19:42:43 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Datei REGLOCS.OLD empfangen 2007.12.30 19:51:17 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Datei smscfg.ini empfangen 2007.12.30 20:00:33 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Datei ODBC.INI empfangen 2007.12.30 20:11:14 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

C:\Windows\NDSTray.INI ==>> 0 bytes size received / Se ha recibido un archivo vacio

C:\Windows\control.ini ==>> 0 bytes size received / Se ha recibido un archivo vacio

Datei nvs2.inf empfangen 2007.12.30 20:25:28 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Datei tzchange.exe empfangen 2007.12.28 15:02:39 (CET)
Status: Beendet
Ergebnis: 0/32 (0.00%)

Datei quartz.dll_ empfangen 2007.12.30 20:33:43 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Datei wmasf.dll empfangen 2007.12.28 02:46:44 (CET)
Status: Beendet
Ergebnis: 0/32 (0.00%)

Datei UCLiveCtrl.ocx empfangen 2007.12.30 20:39:14 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Datei UCLiveCore.dll empfangen 2007.12.30 20:40:23 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Datei UCLiveSocket.dll empfangen 2007.12.30 20:53:02 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Datei wininet.dll empfangen 2007.12.30 10:43:24 (CET)
Status: Beendet
Ergebnis: 0/32 (0.00%)

Datei advpack.dll empfangen 2007.12.30 12:10:31 (CET)
Status: Beendet
Ergebnis: 0/32 (0.00%)

Datei iedkcs32.dll empfangen 2007.12.30 20:57:38 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/31 (0%)

Datei icardie.dll empfangen 2007.12.30 21:01:48 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Datei ieapfltr.dll empfangen 2007.12.30 21:03:31 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/31 (0%)

Datei extmgr.dll empfangen 2007.12.30 21:11:34 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Datei ieaksie.dll empfangen 2007.12.30 21:16:04 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

###############################################

CounterSpy:

Scan History Details
Start Date: 30.12.2007 22:32:30
End Date: 31.12.2007 00:02:51
Total Time: 90 Min 21 Sec
Detected security risks

###############################################

Panda Totalscan:

;***********************************************************************************************************************************************************************************
ANALYSIS: 2007-12-31 01:23:38
PROTECTIONS: 1
MALWARE: 5
SUSPECTS: 1
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
Avira AntiVir PersonalEdition 7.0.1.176
No Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================

;===================================================================================================================================================================================

###############################################

KASPERSKY ONLINE SCANNER REPORT
Monday, December 31, 2007 11:13:49 AM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.1
Kaspersky Anti-Virus database last update: 31/12/2007
Kaspersky Anti-Virus database records: 500668
Scan Settings
Scan using the following antivirus database extended
Scan Archives true
Scan Mail Bases true
Scan Target My Computer
C:\
D:\
Scan Statistics
Total number of scanned objects 61686
Number of viruses found 1
Number of infected objects 3
Number of suspicious objects 0
Duration of the scan process 00:59:58

###############################################

hijackthis:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 11:28:22, on 31.12.2007

###############################################

Navilog1:

Search Navipromo version 3.3.8 began on 31.12.2007 at 11:31:34,14

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Updated on 11.12.2007 at 18h00 by IL-MAFIOSO

Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.11
Filesystem type : NTFS

Done in normal mode

*** Searching for installed Software ***

*** Search folders in C:\WINDOWS ***

*** Search folders in C:\Programme ***

*** Search folders in C:\DOKUME~1\ALLUSE~1\ANWEND~1 ***

*** Search folders in "C:\Dokumente und Einstellungen\Toshiba\anwendungsdaten" ***

*** Search folders in C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1 ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

Hidden file(s) :

C:\Dokumente und Einstellungen\Toshiba\Lokale Einstellungen\Anwendungsdaten\eafbazg.dat
C:\Dokumente und Einstellungen\Toshiba\Lokale Einstellungen\Anwendungsdaten\eafbazg.exe
C:\Dokumente und Einstellungen\Toshiba\Lokale Einstellungen\Anwendungsdaten\eafbazg_nav.dat
C:\Dokumente und Einstellungen\Toshiba\Lokale Einstellungen\Anwendungsdaten\eafbazg_navps.dat

*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in C:\WINDOWS\system32 *

* Scan in "C:\Dokumente und Einstellungen\Toshiba\lokale einstellungen\anwendungsdaten" *

Files found :

eafbazg.exe found !

*** Search files ***

*** Search specific Registry keys ***

HKEY_CURRENT_USER\Software\Lanconfig found !

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :

2)Heuristic Search :

* In C:\WINDOWS\system32 :

* In "C:\Dokumente und Einstellungen\Toshiba\lokale einstellungen\anwendungsdaten" :

3)Certificates Search :

Egroup certificate found !

4)Search known files :

*** Search completed on 31.12.2007 at 11:34:19,23 ***

###############################################

Die 25 speziell gescannten Dateien habe ich gezippt und an euch übermittelt. Kann ich die Dateien und den Zip-Ordner wieder löschen (habe sie vorher 'gesucht' und an 'Eigene Dateien' gesendet, dort in einem Zip-Ordner zusammengefasst und diesen übermittelt) oder kille ich sonst meinen Laptop?

Bevor ich es vergesse: Dass es so nette Menschen wie euch gibt, die sich die Zeit nehmen und die Mühe machen, anderen wie mir, die sich trotz vieler Vorsichtsmaßnahmen einen Virus o.ä. einfangen, zu helfen, kann man nicht hoch genug würdigen; unabhängig vom Ausgang der Prüfung. Daher möchte ich euch im Namen aller 'Ahnungslosen' ein dickes Lob und ein riesengroßes Dankeschön aussprechen.

Da ich nicht weiß, was noch auf mich zukommt und ob ich heute noch Zeit haben werde, weiter zu suchen/scannen etc. wünsche ich Euch allen einen guten Rutsch ins neue Jahr.

Martin

pcfreak

So, wir haben den Übeltäter gefunden.

Lade dir AVG Antispyware
installieren, öffnen, updaten.

Registerkarte Tools[list:fd7f4fc582]
Unterregisterkarte Dateivernichter

[*]Hinzufügen

C:\Dokumente und Einstellungen\Toshiba\Lokale Einstellungen\Anwendungsdaten\eafbazg.dat
C:\Dokumente und Einstellungen\Toshiba\Lokale Einstellungen\Anwendungsdaten\eafbazg.exe
C:\Dokumente und Einstellungen\Toshiba\Lokale Einstellungen\Anwendungsdaten\eafbazg_nav.dat
C:\Dokumente und Einstellungen\Toshiba\Lokale Einstellungen\Anwendungsdaten\eafbazg_navps.dat

[*]Optionen

Hochsicherer Modus

[*]Starten, Report speichern und posten[/list:u:fd7f4fc582]

Zitat

Würden die eingefangenen Dateien beseitigt werden, wenn ich mein Laptop auf einen früheren Installationszeitpunkt (z.B. August) zurücksetze, zu dem ich dieses Pop-up-Problem noch nicht hatte?

Nein das würden sie nicht. Malware befäält auch die Systemwiederherstellungspunkte, so dass sie im Fall ein Wiederherstellung wieder am Computer landen würde.

Da die Dateien ja alle sauber zu sein scheinen, berichte, ob sich die Probleme nach dem löschen der Dateien gelöst haben.

Edit:
Bitte die folgende Datei bei Virustotal hochladen. Wenn etwas gefunden wird bitte das Ergebnis posten:
C:\WINDOWS\system32\dllhost.exe

Martin Schmitz

Ich komme leider nur bis

C:\Dokumente und Einstellungen\Toshiba,

danach wird mir kein Ordner 'Lokale Einstellungen' angezeigt. Selbst über die Suche wird mir die betreffende Datei nicht angezeigt. Ist es evtl. ein versteckter Ordner?

pcfreak

Ja. Der Ordner ist versteckt. Entschuldigung, daran hatte ich nicht gedacht.
Start->Systemsteuerung->Ordneroptionen->Hacken setzen bei "Alle Dateien und Ordner anzeigen", und Hacken setzen bei "Geschützte Systemdateien ausblenden"->Warnmeldung mit OK/JA bestätigen->Übernehmen->OK.
Jetzt sollte es gehen.

Martin Schmitz

jetzt kam ich nur bis ...\Anwendungsdaten

Habe darunter alles durchsucht, aber keine eafbazg.-Dateien gefunden. In der Systemsteuerung habe ich in den Ordneroptionen alle anderen Häkchen entfernt bis auf die zwei, die ich setzen sollte.

Martin Schmitz

VirusTotal hat zu der Datei C:\WINDOWS\system32\dllhost.exe nichts gefunden:

Datei dllhost.exe empfangen 2007.12.27 00:43:55 (CET)
Status: Beendet
Ergebnis: 0/32 (0.00%)

Martin Schmitz

O.K. mein AntiVir hat die eafbazg.-Dateien verhaftet und in Quarantäne genommen. Ich habe sie jetzt mal gelöscht uns lasse erst AntiVir uns danach die anderen drüber laufen.

Martin Schmitz

Nach dem erneuten Scan hat AntiVir die Dateien wieder gefunden und in Quarantäne genommen. Die sind ganz schön lästig.

hier der Report:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 31. Dezember 2007 15:52

Es wird nach 996949 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Toshiba
Computername: MARTIN

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 13:16:24
AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 15:48:28
LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 15:32:43
LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 15:49:04
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 19:49:41
ANTIVIR2.VDF : 7.0.1.170 311296 Bytes 28.12.2007 15:54:53
ANTIVIR3.VDF : 7.0.1.181 36352 Bytes 31.12.2007 14:50:17
AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 20.12.2007 19:49:43
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 10:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 07:16:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24
AVPACK32.DLL : 7.6.0.2 360488 Bytes 20.12.2007 19:49:44
AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 07:17:02
AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 12:26:28
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 07:10:14
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 11:09:03
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 12:37:51
RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:50:28
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 09:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Suche nach Rootkits
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\PROFILES\rootkit.avp
Protokollierung..................: hoch
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Durchsuche Speicher..............: aus
Durchsuche aktive Programme......: aus
Durchsuche Registrierung.........: aus
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Erweiterte Sucheinstellungen.....: 0x00300922

Beginn des Suchlaufs: Montag, 31. Dezember 2007 15:52

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\dokumente und einstellungen\toshiba\lokale einstellungen\anwendungsdaten\eafbazg.dat
[HINWEIS] Die Datei ist nicht sichtbar.
[INFO] Eine Sicherungskopie wurde unter dem Namen 47df0368.qua erstellt ( QUARANTÄNE )
c:\dokumente und einstellungen\toshiba\lokale einstellungen\anwendungsdaten\eafbazg.exe
[HINWEIS] Die Datei ist nicht sichtbar.
[INFO] Eine Sicherungskopie wurde unter dem Namen 44525b19.qua erstellt ( QUARANTÄNE )
c:\dokumente und einstellungen\toshiba\lokale einstellungen\anwendungsdaten\eafbazg_nav.dat
[HINWEIS] Die Datei ist nicht sichtbar.
[INFO] Eine Sicherungskopie wurde unter dem Namen 44507d79.qua erstellt ( QUARANTÄNE )
c:\dokumente und einstellungen\toshiba\lokale einstellungen\anwendungsdaten\eafbazg_navps.dat
[HINWEIS] Die Datei ist nicht sichtbar.
[INFO] Eine Sicherungskopie wurde unter dem Namen 444ea0d9.qua erstellt ( QUARANTÄNE )
c:\windows\prefetch\eafbazg.exe-383490ed.pf
[HINWEIS] Die Datei ist nicht sichtbar.
[INFO] Eine Sicherungskopie wurde unter dem Namen 444cca39.qua erstellt ( QUARANTÄNE )
HKEY_USERS\S-1-5-21-792567992-2479724443-2773642691-1005\Software\Microsoft\Windows\CurrentVersion\Run\eafbazg
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
eafbazg.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
Es wurden '331226' Objekte überprüft, '7' versteckte Objekte wurden gefunden.

Ende des Suchlaufs: Montag, 31. Dezember 2007 15:56
Benötigte Zeit: 03:19 min

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
5 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
5 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
0 Hinweise
331226 Objekte wurden beim Rootkitscan durchsucht
7 Versteckte Objekte wurden gefunden

pcfreak

Du sollst die Dateien mit AVG AntiSpyware löschen, nicht mit AntiVir in Qurantäne nehmen
AntiVir taugt nichts

Das löschen dieser Dateien per AVG machst du am besten im abgesicherten Modus. Dann kannst du auch gleich den Inhalt des Ordners C:\windows\prefetch löschen - per AVG.

Bevor du die Dateien vernichtest, bitte die Dateien per Mail an MalwareTEAM@t-online.de schicken. In einem ZIP Archiv. Betreff: malware ppf Martin Schmitz

Martin Schmitz

AVG AntiSpyware läuft auch gerade, nur dass ich die Dateien leider nicht löschen kann, da ich nur bis \...\Anwendungsdaten komme.

Daher kann ich sie weder löschen noch per eMail senden.

Ich habe sie rein zufällig bei AntiVir in der Quarantäne entdeckt.

Martin Schmitz

Also im abgesicherten Modus (daran muss ich mich beim Scannen wohl gewöhnen) hat AVG jetzt die Dateien entdeckt und gelöscht.

Anschließend habe ich im normalen Modus mit Firefox und IE zirka 10+ Seiten aufgerufen, ohne dass mich die Pop-ups belästigt haben, was die Hoffnung in mir weckt, dass du mein Problem beheben konntest.

:danke2: :danke2: :danke2: :danke2: :danke2: :danke2: :danke2: :danke2: :danke2: :danke2: :danke2: :danke2: :danke2: :danke2: :danke2: :danke2: :danke2: :danke2:

Jetzt muss ich mal gucken, wo meine Frau ist. Nicht, dass sie wegen Vernachlässigung die Koffer gepackt hat.
Aber genervt war sie schließlich auch von den Pop-ups.

Ich habe jetzt die Ordneroptionen in der Systemsteuerung wiederhergestellt.
Muss/kann ich irgendwelche Antiviren-Programme, die ich seit gestern neu installiert habe, wieder deinstallieren, wenn die Pop-ups besiegt sind, um den Rechner wieder etwas zu entlasten?

Martin Schmitz

Nachtrag:

die letzten AVG-Berichte:

---------------------------------------------------------
AVG Anti-Spyware - Datenvernichtungs-Bericht
---------------------------------------------------------

+ Erstellt um: 16:56:36 31.12.2007

+ Datenvernichtungsstufe: Hochsicherer Modus [Stufe 3]

+ Dateiliste:

623 KB C:\WINDOWS\Prefetch\Layout.ini Datei vernichtet
1,06 MB C:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf Datei vernichtet
0 B C:\WINDOWS\Prefetch Fehler aufgetreten

::Berichtende

---------------------------------------------------------
AVG Anti-Spyware - Datenvernichtungs-Bericht
---------------------------------------------------------

+ Erstellt um: 17:01:05 31.12.2007

+ Datenvernichtungsstufe: Hochsicherer Modus [Stufe 3]

+ Dateiliste:

9,63 KB C:\Dokumente und Einstellungen\Toshiba\Lokale Einstellungen\Anwendungsdaten\eafbazg.dat Datei vernichtet
280 KB C:\Dokumente und Einstellungen\Toshiba\Lokale Einstellungen\Anwendungsdaten\eafbazg.exe Datei vernichtet
353 KB C:\Dokumente und Einstellungen\Toshiba\Lokale Einstellungen\Anwendungsdaten\eafbazg_nav.dat Datei vernichtet
1,74 KB C:\Dokumente und Einstellungen\Toshiba\Lokale Einstellungen\Anwendungsdaten\eafbazg_navps.dat Datei vernichtet
0 B C:\WINDOWS\Prefetch Fehler aufgetreten

::Berichtende

In meinem Fritz!DSL Startcenter habe ich zudem den Zugriff auf
C:\Dokumente und Einstellungen\Toshiba\Lokale Einstellungen\Anwendungsdaten\eafbazg.exe
und
c:\Programme\WebMediaPlayer\WebMediaPlayer.exe
abgelehnt

pcfreak

Wenn noch Probleme sind, bitte melden

Du kannst AntiVir deinstallieren. Nimm statt AntiVir avast! von Alwil. Avast! erkennt auch Spy- und Adware - ein Vorteil gegenüber AntiVir. Du kannst AVG AntiSpyware nutzen. Nach 30 Tagen wird daraus eine kostenlose Version, ohne Hintergrundwächter.

Zitat

etzt muss ich mal gucken, wo meine Frau ist. Nicht, dass sie wegen Vernachlässigung die Koffer gepackt hat. Embarassed

Meine Frau ist noch da

Um sicherzugehen:
Wiederhole den Totalscan Onlinescan. Kompletter Scan. Report posten.
http://www.nanoscan.com/as/v1/?

Jetzt mitmachen!