Home » Spyware & Browser Hijacker Support Forum » nach NetPumper Installation nun PopUps » Themenansicht
nach NetPumper Installation nun PopUpsThema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
20.06.2006, 18:13
...neu hier
Beiträge: 3 |
||
 
|
|
|
|
21.06.2006, 00:00
Ehrenmitglied
 Beiträge: 29434 |
#2
Info: Netpumper
http://board.protecus.de/t23842.htm den Swizzor-Trojaner kann man loeschen. Ich brauche: look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint http://virus-protect.org/zip/look.zip __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
21.06.2006, 17:47
...neu hier
Themenstarter Beiträge: 3 |
#3
Hi @all,
hab 'ne Anweisung gefunden und exakt nach der habe ich mich gerichtet und es hat funktioniert! Keine PopUps mehr! Kein Trojaner, der die CPU-Auslastung in die Höhe treibt! Die Malware Prozesse (es war der Trojaner Swizzor, den man mit NetPumper gleich mitbekommt!) waren: O2 - BHO: (no name) - {5AA68F2C-2083-6555-B55A-5DACD90162BE} - C:\DOKUME~1\JOKAPH~1\ANWEND~1\ACELOC~1\sixthroad.exe O4 - HKLM\..\Run: [Ooze First Free Log] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\upload loud ooze first\CLOCKUPLOAD.exe und eigentlich O4 - HKCU\..\Run: [stupid plus] C:\DOKUME~1\JOKAPH~1\ANWEND~1\SAFEPE~1\Dashhtm.exe Der letztere war aber schon nach dem Löschen der Ordner weg, erschien dann also nicht mehr im LogFile! Anweisung (auch wenns die Konkurrenz ist!?!?!? --- oder halten beim Thema Sicherheit alle zusammen?): http://www.trojaner-board.de/showthread.php?p=207286 Cya rul0r |
|
|
|
|
|
|
21.06.2006, 18:07
Ehrenmitglied
Beiträge: 29434 |
#4
mit dem Loeschen der Dateien ist es nicht abgetan, du solltest posten, worum ich gebeten habe.........
es sei denn, du hast den Task auch schon geloescht.......... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
22.06.2006, 16:44
...neu hier
Themenstarter Beiträge: 3 |
#5
Ja, hab auch alle Tasks gelöscht aus der Registry! Und mit CleanUp noch den ganzen restlichen Mist!
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
hab zwar schon im Forum gesucht und da ist schon ein Beitrag zu diesem Thema, aber da ich euch noch mein Hijack This Log poste, muss die Hilfe ja speziell angepasst werden. Hab NetPumper installiert und vorher leider nicht zahlreiche Hinweise im WWW auf Spyware registriert! Fakt ist, es öffnet sich im Browser regelmäßig ein PopUp, was früher nicht war. Des Weiteren ist die CPU Auslastung sehr hoch und der Prozess iexplore.exe (vom Internet Explorer? Benutze nur Firefox) zieht 39.837k?!?!?! Nach dem PopUp und den Hinweisen im WWW hab ich NetPumper gleich deinstalliert, doch im Ordner C:/Programme kann ich den Ordner NetPumper nicht löschen, obwohl er leer ist ->Datei wird noch verwendet, oder so änlich. AntiVir Scan war negativ->kein Virus oder Ähnliches. Alles auf dem Neuesten stand...Firewall, XPAntiVir und Spybot Search and Destroy. Mit Spybot S&D hab ich auch Suchlauf gemacht, der hat neben ein paar Cookies, etwas namens "Swizzor" gefunden (weiß nicht, ob das durch NetPumper kommt!), es ging nach Spybot S&D aber alles zu bereinigen.
Bei Tipps und Hilfen bitte alles ausführlich und einfach, hab auf dem Gebiet nicht so viel Ahnung!
Nun folgend noch der Hijack This Logfile---->
Logfile of HijackThis v1.99.1
Scan saved at 18:11:56, on 20.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\DLink\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Razer\razerhid.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\DLink\Bluetooth Software\BTTray.exe
C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
C:\Programme\Razer\razertra.exe
C:\Programme\Razer\razerofa.exe
C:\PROGRA~1\DLink\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\system32\wscntfy.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\Jokaphian\Desktop\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5AA68F2C-2083-6555-B55A-5DACD90162BE} - C:\DOKUME~1\JOKAPH~1\ANWEND~1\ACELOC~1\sixthroad.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Programme\ScanSoft\PDF Converter\RegistryController.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Ooze First Free Log] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\upload loud ooze first\CLOCKUPLOAD.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [stupid plus] C:\DOKUME~1\JOKAPH~1\ANWEND~1\SAFEPE~1\Dashhtm.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: PDF in Word öffnen - res://C:\Programme\ScanSoft\PDF Converter\IEShellExt.dll /500
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\DLink\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\DLink\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Thx rul0r
Nachtrag:
Ich glaube es liegt am Prozess:
c:\progra~1\intern~1\iexplore.exe
Erstens kleines c vorne, was bedeutet das? Alle anderen Prozesse mit großem C!
Zweitens schluckt der Prozess richtig viel Speicher!
Drittens ich habe ein Online Scan meines Logs gemacht (http://www.hijackthis.de/de#anl)
Da war alles OK, nur bei dem Eintrag stand egtl. auch ok, aber Vorsicht! Datei egtl. im Verzeichnis C:\Programme\Internet Explorer\iexplore.exe Bitte überprüfen, aber der normale Prozess läuft schon ganz normal im Verzeichnis C:\Programme\Internet Explorer\iexplore.exe und zieht kaum Speicher! Also muss es doch daran liegen, oder?
Und viertens beim installieren von NetPumper ging Resident auf (Programm von Spybot S&D, was anzeigt, wenn was in der Registry passiert), doch ich konnte weder erlauben noch verbieten drücken, weil es abgekackt ist, weil CPU Auslastung so hoch war!
Please help!
Nachtrag 2:
Hm, und wenn dich den speicherfressenden merkwürdigen iexplore.exe Prozess im Taskmanager beende, öffnet er gleich wieder so schnell kann ich Taskmanager gar nicht beenden!
Nachtrag 3:
Hab Kumpel gefragt, wenn er bei Ausführen c:\progra~1\intern~1\iexplore.exe eingibt, öffnet der Internetexplorer ganz normal! Aber ich habe einen neuen Verdacht, was ist mit C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\upload loud ooze first\CLOCKUPLOAD.exe
???