Maleware und Popups

#0
24.09.2007, 13:10
...neu hier

Beiträge: 3
#1 Hallo,

ich habe Windows 2000 und erhalte ständig popups (beim IE) und der Rechner ist relativ langsam, habe mal mit dem KAV7.0 installiert und auch einiges behoben, allerdings sind die Popups immer noch da.

Hiermal der Hijack file
Logfile of HijackThis v1.99.1
Scan saved at 12:54, on 2007-09-24
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\ArcSoft\PhotoImpression 5\PI Monitor.exe
C:\WINNT\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Daniel1.DANIEL\Desktop\Security\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PI Monitor.lnk = C:\Programme\ArcSoft\PhotoImpression 5\PI Monitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O20 - Winlogon Notify: klogon - C:\WINNT\system32\klogon.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Portable Medial Serials Extends (PmSEsSwS) - Unknown owner - C:\Program Files\Common Files\Microsoft Shared\MSINFO\svchost.exe (file missing)


Hier datfind

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist SYSTEM
Datentr„gernummer: F854-E83C

Verzeichnis von C:\WINNT\system32

2007-09-24 12:41 16,384 Perflib_Perfdata_348.dat
2007-09-21 17:32 143,624 FNTCACHE.DAT
2007-09-21 17:19 16,832 amcompat.tlb
2007-09-21 17:19 23,392 nscompat.tlb
2007-09-21 17:18 300,378 perfh009.dat
2007-09-21 17:18 38,036 perfc009.dat
2007-09-21 17:18 289,156 perfh007.dat
2007-09-21 17:18 46,232 perfc007.dat
2007-09-21 17:18 663,264 PerfStringBackup.INI
2007-09-21 17:17 271 desktop.ini
2007-09-21 17:17 21,817 folder.htt
2007-09-21 17:17 525 mapisvc.inf
2007-09-21 17:17 15,060 emptyregdb.dat
2007-09-21 16:57 302 $winnt$.inf
2007-09-21 11:13 0 tmp.txt
2007-09-21 11:13 3,608 tmp.reg
2007-09-19 18:35 428,032 netsrv.exe
2007-09-19 17:00 0 winmds.ex_
2007-09-16 17:07 630 ncqyrq.drv
2007-09-04 14:22 8,650 info.txt
2007-09-03 16:07 121,985 form.txt
2007-07-30 19:20 30,040 wuaucpl.cpl.mui
2007-07-30 19:20 30,040 wuapi.dll.mui
2007-07-30 19:19 1,712,984 wuaueng.dll
2007-07-30 19:19 549,720 wuapi.dll
2007-07-30 19:19 325,976 wucltui.dll
2007-07-30 19:19 216,408 wuaucpl.cpl
2007-07-30 19:19 203,096 wuweb.dll
2007-07-30 19:19 92,504 cdm.dll
2007-07-30 19:19 53,080 wuauclt.exe
2007-07-30 19:19 43,352 wups2.dll
2007-07-30 19:18 34,136 wucltui.dll.mui
2007-07-30 19:18 33,624 wups.dll
2007-07-30 19:18 20,824 wuaueng.dll.mui
2007-07-23 14:58 86,232 mstinit.dll
2007-07-22 18:39 279,552 swreg.exe
2007-07-16 17:50 82,136 ipv6monl.dll
2007-06-28 12:51 206,088 klogon.dll
2007-06-01 12:24 1,836 cahoot_logo_small.gif
2007-06-01 12:24 3,550 logo_rbs_2006.gif
2007-06-01 12:24 2,620 ind_homelogo_gen.gif
2007-06-01 12:24 3,443 barclays_logo.gif


Combofix konnte ich nicht, da kam immer eine Fehlermeldung.

Danke im vorraus!
Seitenanfang Seitenende
24.09.2007, 14:02
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,

bitte online prüfen:
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat

C:\WINNT\system32\netsrv.exe
Poste das Ergebniss, falls es nicht erkannt wird unten bei der Killbox rausnehmen!

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
reinkopieren:
C:\WINNT\system32\netsrv.exe
C:\Program Files\Common Files\Microsoft Shared\MSINFO\svchost.exe
C:\WINNT\inst_cassovia_apps.exe
C:\WINNT\system32\inst_cassovia_apps.exe

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten


Folgendes mit HJ-fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Achtung: Alle Anwendungen bis auf HJ müssen geschlossen sein!)

Zitat


O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O23 - Service: Portable Medial Serials Extends (PmSEsSwS) - Unknown owner - C:\Program Files\Common Files\Microsoft Shared\MSINFO\svchost.exe (file missing)


Poste das Hostfile:
Lade das Host-file (C:\WINDOWS\system32\drivers\etc\hosts) in einen Texteditor (im Explorer drauf klicken, rechte Maus, senden an -> editor).
Kopiere den Inhalt und poste ihn hier...

Dannach ebenfalls im abgesicherten Modus noch Drweb cureit reinigen lassen:
http://freedrweb.com/?lng=de
Report liegt in %userprofile%\doctorweb\cureit.log , bitte posten!

chris
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: