Google suche löst popup aus, und bestimmte URLs sind blockiert

#16 hallo, wir machen ........
edit (Mod)

#17 ottilein

hast du ein Bytemobile installiert ? (Software)

_________________________________________________________________

0.
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Class - {E29EB9C7-8699-7999-94CE-256C12900488} - C:\WINDOWS\xjyqu1.dll (file missing)

«
1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\WINDOWS\system32\dcxx.dll
C:\Dokumente und Einstellungen\diezo\Lokale Einstellungen\Temp\hostsbak.bak

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

2.
laden, Rechner neustarten - dann scanne und berichte
AVG Anti-Rootkit 1.0.0.13 Beta
http://www.freewarefiles.com/program_9_90_22524.html

3.
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.
__________
MfG Sabina

rund um die PC-Sicherheit

#18 Hallo Sabina,

wer oder was ist Bytemobile ? Habe auf deren Wensite gesehen, daß Vodaphone und T-Mobile deren Technologie benutzen. Ich benutzte eine Vodafone UMTS/GPRS Datenkarte auf dem Notebook, wenn ich mal unterwegs bin.

------------------------------

Die Hijackthis Einträge habe ich gefixt, aber die kommen aber nach jedem Reboot wieder neu (kurz nach dem Reboot sind sie noch nicht zu sehen, aber so 1-2 Minuten nach Abschluss des Bootvorgangs sind sie plötzlich wieder da). Auch bei abgeschaltetem Internet (wird also nix "nachgeladen" oder so).

------------------------------

Avanger hat die zwei Dateien gelöscht....

------------------------------

Der Anti Rootkit Scanner brachte bei der normalen und bei
der "In Depth" Suche nichts zu Tage.....

-------------------------------

Original Hosts mit Hoster wiederhergestellt.....

Dieses Forum (und andere Security Sites) sind immernoch blockiert und die Popups bei Google sind auch noch da.

Scheint ein hartnäckiger Bursche zu sein.

Der Prozess der das Ganze auslöst müsste doch irgendwie zu identifizeiren sein, oder ? (File Access Monitor oder so ?) Muss doch auch schon beim Booten irgendwie geladen werden. Evtl. in einem infizieten "legalen" Wirtsprozess ?

Übrigens ist ja mein Desktop auch infiziert und Hijackthis generiert die gleichen Einträge, die ich löschen sollte auf dem anderem PC. Ebenfalls war dieser mit dem gleichem Trojaner infiziert wie in der Datei dcxx.dll gefunden wurde, nur hieß die Datei dort anders. (es scheint da also evtl. einen Zusammenhang zu geben).

Bei NOD32 ist eine Beschreibung über diesen Trojaner zu lesen. Klingt nicht gerade gut, was der so alles macht/kann....

MfG
Ottilein

#19 1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
scanne und berichte, ob etwas gefunden wurde
Rootkit Hook Analyzer
http://www.resplendence.com/hookanalyzer

4.
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren

5.
scanne unbedingt im abgesicherten modus, dann post den scanreport
http://virus-protect.org/cureit.html

wenn das nichts bringt, gebe ich dir den link fuer NOD32
__________
MfG Sabina

rund um die PC-Sicherheit

#20 Hallo Sabina,

habe alles gemacht, wie von Dir angegeben.

Das einzige Problem ist, daß der Rootkit Hook Analyzer nicht läuft.
Habe versucht die Installationsdatei zu starten, aber nix passiert.
(nur die Festplatten-LED flackert kurz) Sowohl im normalem, als
auch im abgesicherten Modus :-(

Der Dr. Web Cureit (Abgesicherter Modus) findet nichts.

Die anderen Logs siehe unten:
--------------------------------------------------------

Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 54A5-8EF0

Verzeichnis von C:\WINDOWS\system32

29.10.2006 21:04 383.588 perfh009.dat
29.10.2006 21:04 395.074 perfh007.dat
29.10.2006 21:04 53.942 perfc009.dat
29.10.2006 21:04 64.994 perfc007.dat
29.10.2006 21:04 906.376 PerfStringBackup.INI
28.10.2006 11:22 0 mapisvc.inf
26.10.2006 07:42 0 asfiles.txt
26.10.2006 07:38 2.550 Uninstall.ico
26.10.2006 07:38 1.406 Help.ico
26.10.2006 07:38 30.590 pavas.ico
23.10.2006 07:35 1.158 wpa.dbl
29.08.2006 18:43 135.168 swreg.exe
02.08.2006 11:39 73.728 asuninst.exe



Verzeichnis von C:\DOKUME~1\diezo\LOKALE~1\Temp

29.10.2006 21:28 206 jusched.log
29.10.2006 21:23 16.384 ~DF1E90.tmp
2 Datei(en) 16.590 Bytes
0 Verzeichnis(se), 22.973.329.408 Bytes frei


Verzeichnis von C:\WINDOWS

29.10.2006 21:28 1.852.395 WindowsUpdate.log
29.10.2006 21:23 552.396 setupapi.log
29.10.2006 21:01 0 0.log
29.10.2006 20:59 2.048 bootstat.dat
29.10.2006 11:32 32.634 SchedLgU.Txt
28.10.2006 11:36 1.126.950 ntbtlog.txt
27.10.2006 17:35 220.564 setupact.log
27.10.2006 15:52 7.680 cfgall.ini
26.10.2006 07:42 915 win.ini
11.10.2006 20:06 12.822 ModemLog_Fusion UMTS Quad-GPRS - 3G Modem.txt
05.10.2006 07:02 79.508 wmsetup.log
11.09.2006 04:48 216 wiadebug.log
11.09.2006 04:47 50 wiaservc.log
30.08.2006 16:10 432 BRWMARK.INI



Verzeichnis von C:\WINDOWS\Temp

29.10.2006 21:00 0 JET8C3D.tmp
29.10.2006 21:00 0 JET7F5C.tmp



Verzeichnis von C:\WINDOWS\Downloaded Program Files

25.09.2006 16:11 8.038.136 jinit.exe
24.08.2006 07:28 141.424 asinst.dll
22.08.2006 08:06 537 asinst.inf


Verzeichnis von C:\

29.10.2006 21:34 0 sys.txt
29.10.2006 21:34 271 down.txt
29.10.2006 21:34 206 tmp.txt
29.10.2006 21:34 824 system.txt
29.10.2006 21:33 332 systemtemp.txt
29.10.2006 21:33 756 system32.txt
29.10.2006 20:59 1.063.440.384 hiberfil.sys
29.10.2006 20:59 792.723.456 pagefile.sys
27.10.2006 20:30 8.314 filelist.txt

--------------------------------------------------------


The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Professional
Version: 5.1.2600 Service Pack 2
Okt 29, 2006 21:45:24


---> Begin Service Listing <---

Unknown Service # 1
Service Name: AdobeActiveFileMonitor4.0
Display Name: Adobe Active File Monitor V4
Start Mode: Auto
Start Name: LocalSystem
Description: Verfolgt Dateien, die von Adobe Photoshop Elements verwaltet ...
Service Type: Own Process
Path: c:\programme\adobe\photoshop elements 4.0\photoshopelementsfileagent.exe
State: Running
Process ID: 176
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 2
Service Name: bmwebcfg
Display Name: Bytemobile Web Configurator
Start Mode: Auto
Start Name: LocalSystem
Description: Configures web browsers for optimal ...
Service Type: Own Process
Path: "c:\windows\system32\bmwebcfg.exe"
State: Running
Process ID: 612
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 3
Service Name: Brother XP spl Service
Display Name: BrSplService
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\windows\system32\brsvc01a.exe
State: Running
Process ID: 140
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 4
Service Name: EvtEng
Display Name: EvtEng
Start Mode: Auto
Start Name: LocalSystem
Description: Intel Event Trace ...
Service Type: Own Process
Path: c:\programme\intel\wireless\bin\evteng.exe
State: Running
Process ID: 816
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 5
Service Name: Image Converter video recording monitor for VAIO Entertainment
Display Name: Image Converter video recording monitor for VAIO Entertainment
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\sony\image converter 2\icvzmon.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 6
Service Name: IPSECMON
Display Name: SafeNet Monitor Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\watchguard\mobile user vpn\ipsecmon.exe"
State: Running
Process ID: 1508
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 7
Service Name: IreIKE
Display Name: SafeNet IKE Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\watchguard\mobile user vpn\ireike.exe"
State: Running
Process ID: 1272
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service #8
Service Name: MDM
Display Name: Machine Debug Manager
Start Mode: Auto
Start Name: LocalSystem
Description: Unterstützt lokales und remotes Debuggen für Visual Studio- und Skript-Debugger. Wenn dieser ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\microsoft shared\vs7debug\mdm.exe"
State: Running
Process ID: 1752
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 9
Service Name: MSCSPTISRV
Display Name: MSCSPTISRV
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\sony shared\avlib\mscsptisrv.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 10
Service Name: ntrtscan
Display Name: OfficeScanNT RealTime Scan
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\trend micro\officescan client\ntrtscan.exe"
State: Running
Process ID: 840
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 11
Service Name: OfcPfwSvc
Display Name: OfficeScanNT Personal Firewall
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\trend micro\officescan client\ofcpfwsvc.exe"
State: Running
Process ID: 2916
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service #12
Service Name: ose
Display Name: Office Source Engine
Start Mode: Manual
Start Name: LocalSystem
Description: Speichert Installationsdateien, die für Updates und Reparieren verwendet werden, und ist für den ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\microsoft shared\source engine\ose.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 13
Service Name: PACSPTISVR
Display Name: PACSPTISVR
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\sony shared\avlib\pacsptisvr.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 14
Service Name: RegSrvc
Display Name: RegSrvc
Start Mode: Auto
Start Name: LocalSystem
Description: Intel Registry ...
Service Type: Own Process
Path: c:\programme\intel\wireless\bin\regsrvc.exe
State: Running
Process ID: 1884
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 15
Service Name: S24EventMonitor
Display Name: Spectrum24 Event Monitor
Start Mode: Auto
Start Name: LocalSystem
Description: Handles the Spectrum24 NDIS ...
Service Type: Own Process
Path: c:\programme\intel\wireless\bin\s24evmon.exe
State: Running
Process ID: 928
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 16
Service Name: SPTISRV
Display Name: Sony SPTI Service
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\sony shared\avlib\sptisrv.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 17
Service Name: SSScsiSV
Display Name: SonicStage SCSI Service
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\gemeinsame dateien\sony shared\avlib\ssscsisv.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #18
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{5a3700eb-d264-42bf-b5b6-588a0d242801}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 19
Service Name: tmlisten
Display Name: OfficeScanNT Listener
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\trend micro\officescan client\tmlisten.exe"
State: Running
Process ID: 1968
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 20
Service Name: VAIO Entertainment TV Device Arbitration Service
Display Name: VAIO Entertainment TV Device Arbitration Service
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\sony shared\vaio entertainment platform\vzcs\vzhardwareresourcemanager\vzhardwareresourcemanager.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 21
Service Name: VAIO Event Service
Display Name: VAIO Event Service
Start Mode: Auto
Start Name: LocalSystem
Description: Stellt den VAIO-Dienst zur Verwaltung von Hardwareereignissen bereit. Während des Abschließens ...
Service Type: Own Process
Path: c:\programme\sony\vaio event service\vesmgr.exe
State: Running
Process ID: 1860
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 22
Service Name: VAIOMediaPlatform-IntegratedServer-AppServer
Display Name: VAIO Media Integrated Server
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\sony\vaio media integrated server\vmisrv.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 23
Service Name: VAIOMediaPlatform-IntegratedServer-HTTP
Display Name: VAIO Media Integrated Server (HTTP)
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Share Process
Path: "c:\programme\sony\vaio media integrated server\platform\sv_httpd.exe" /service=vaiomediaplatform-integratedserver-http /regroot="software\sony corporation\vaio media platform\2.0" /regext="applications\integratedserver\http"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 24
Service Name: VAIOMediaPlatform-IntegratedServer-UPnP
Display Name: VAIO Media Integrated Server (UPnP)
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\sony\vaio media integrated server\platform\upnpframework.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 25
Service Name: VAIOMediaPlatform-Mobile-Gateway
Display Name: VAIO Media Gateway Server
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Share Process
Path: "c:\programme\sony\vaio media integrated server\platform\vmgateway.exe" /service=vaiomediaplatform-mobile-gateway /regroot="software\sony corporation\vaio media platform\2.0" /regext="\addons\packages\mobile\gateway" /displayname="vaio media gateway server"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 26
Service Name: VCI
Display Name: VAIO Cooporated Initialisation
Start Mode: Auto
Start Name: LocalSystem
Description: Schedule Engine of Sony ...
Service Type: Own Process
Path: c:\programme\sony\vaio cooperated initialisation\vci_svc.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 27
Service Name: Vcsw
Display Name: VAIO Entertainment UPnP Client Adapter
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\gemeinsame dateien\sony shared\vaio entertainment platform\vcsw\vcsw.exe -runbyscm
State: Running
Process ID: 1392
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 28
Service Name: VzCdbSvc
Display Name: VAIO Entertainment Database Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\sony shared\vaio entertainment platform\vzcdb\vzcdbsvc.exe"
State: Running
Process ID: 2644
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 29
Service Name: VzFw
Display Name: VAIO Entertainment File Import Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\gemeinsame dateien\sony shared\vaio entertainment platform\vzcdb\vzfw.exe
State: Running
Process ID: 3032
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

---> End Service Listing <---

There are 109 Win32 services on this machine.
29 were unrecognized.

Script Execution Time: 1,6875 seconds.

#21 ««
RootkitRevealer - poste das log
http://www.sysinternals.com/Utilities/RootkitRevealer.html

««
Avenger
http://www.virus-protect.org/artikel/tools/avenger.html

Zitat

Files to delete:
C:\WINDOWS\Downloaded Program Files\jinit.exe
C:\WINDOWS\system32\dcxx.dll

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
scanne und poste den scanreport
(im abgesicherten Modus scannen)
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit

#22 PROBLEM PROBLEM PROBLEM

Der Rootkit Revealer laesst sich nicht starten/installieren. (genauso wie vorher beim Rootkit Hook Analyzer). Ebenso laesst sich Avenger nicht starten.

Gibt es noch andere gute Rootkit Scanner ? Habe hier den Helios Malware Scanner probiert. Der geht auch, aber der scheint nur was fuer Experten zu sein.....komme nicht ganz klar damit.

Was tun,spracht Zeus ?

Ottielin[/b]

#23
Pocket KillBox
http://virus-protect.org/killbox.html
Options: "Delete on Reboot" und "Single File"--> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ........

C:\WINDOWS\Downloaded Program Files\jinit.exe
C:\WINDOWS\system32\dcxx.dll

PC neustarten

scanne und poste den scanreport
(im abgesicherten Modus scannen)
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit

#24 Hallo Sabina,

die zwei Dateien wurden gekillt und der Cureit meldet nach dem Neustart folgendes:

Process.exe;C:\WINDOWS\system32;Tool.Prockill;;

Ottilein

#25 1.
nach dem Neustart suche: C:\!KillBox
und lösche alle dort befindlichen Dateien manuell + papierkorb leeren

2.
scanne mit kaspersky (option 4 ) - lasse erst die Virensignaturen laden, dauert lange, dann scanne und poste den scanreport
http://virus-protect.org/multiavtool.html
__________
MfG Sabina

rund um die PC-Sicherheit