IE öffnet sich andauernd mit ungewollten Werbe-Pop-Up´s

tripke023 · Jul 22, 2009

Hallo,

meine IE öffnet sich andauernd ungewollt mit Werbepopups ?

Mein Hijack.log ist angehangen !!

Ich bitte um Hilfe !!!

-humi- · Jul 22, 2009

lass bitte folgendes auf Virustotal bzw Jotti scannen und poste hier das Ergebnis:
Code:
C:\DOKUME~1\Martin\LOKALE~1\Temp\b.exe
Bitte fixe mit HJT folgendes:
fixen: scannen, anschliessend gewünschte Einträge mit Haken versehen und anschl.fixen
Code:
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
Falls etwas nach dem fixen nicht mehr funktioniert, kannst du die gefixten Einträge wiederherstellen- hierzu muss jedoch HJT in einem separaten Ordner laufen.(Bsp C:\HJT\

lasse bitte dein System mit >Malwarebytes Anti-Malware< Scannen- lasse vorerst nichts beheben, und poste hier das log

tripke023 · Jul 22, 2009

Hier das Ergebnis nach Scan mit VirusTotal:

Code:

Datei b.exe empfangen 2009.07.22 07:00:57 (UTC)
Status:    Beendet 
Ergebnis: 15/41 (36.59%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.5.0.24	2009.07.22	-
AhnLab-V3	5.0.0.2	2009.07.21	-
AntiVir	7.9.0.222	2009.07.22	-
Antiy-AVL	2.0.3.7	2009.07.22	-
Authentium	5.1.2.4	2009.07.22	-
Avast	4.8.1335.0	2009.07.21	Win32:MalOb-G
AVG	8.5.0.387	2009.07.21	Downloader.Agent2.GFI
BitDefender	7.2	2009.07.22	Trojan.Renos.OTU
CAT-QuickHeal	10.00	2009.07.21	-
ClamAV	0.94.1	2009.07.22	-
Comodo	1729	2009.07.21	-
DrWeb	5.0.0.12182	2009.07.22	Trojan.Cognac
eSafe	7.0.17.0	2009.07.21	Suspicious File
eTrust-Vet	31.6.6632	2009.07.22	-
F-Prot	4.4.4.56	2009.07.21	-
F-Secure	8.0.14470.0	2009.07.22	Trojan.Win32.FraudPack.ppy
Fortinet	3.120.0.0	2009.07.22	-
GData	19	2009.07.22	Trojan.Renos.OTU
Ikarus	T3.1.1.64.0	2009.07.22	-
Jiangmin	11.0.800	2009.07.22	-
K7AntiVirus	7.10.798	2009.07.21	-
Kaspersky	7.0.0.125	2009.07.22	Trojan.Win32.FraudPack.ppy
McAfee	5683	2009.07.21	FakeAlert-EL
McAfee+Artemis	5683	2009.07.21	FakeAlert-EL
McAfee-GW-Edition	6.8.5	2009.07.22	Heuristic.BehavesLike.Spyware.H
Microsoft	1.4903	2009.07.22	TrojanDownloader:Win32/Renos.HU
NOD32	4265	2009.07.21	Win32/Agent.PTU
Norman	6.01.09	2009.07.21	-
nProtect	2009.1.8.0	2009.07.22	Trojan/W32.Agent.168960.S
Panda	10.0.0.14	2009.07.21	-
PCTools	4.4.2.0	2009.07.21	-
Prevx	3.0	2009.07.22	-
Rising	21.39.20.00	2009.07.22	-
Sophos	4.43.0	2009.07.22	Mal/EncPk-HW
Sunbelt	3.2.1858.2	2009.07.21	-
Symantec	1.4.4.12	2009.07.22	-
TheHacker	6.3.4.3.372	2009.07.21	-
TrendMicro	8.950.0.1094	2009.07.22	-
VBA32	3.12.10.8	2009.07.22	-
ViRobot	2009.7.22.1846	2009.07.22	-
VirusBuster	4.6.5.0	2009.07.21	-
weitere Informationen
File size: 168960 bytes
MD5...: 946ea1469f8a8a9e2f86747dab42cf98
SHA1..: 972c56feb769275d67401a5bcc663164ccd41f88
SHA256: 88a59630880121e0e0c4eeb25d83eae1089aa269e9428f969a77d68969ae531b
ssdeep: 3072:hstqlDOl97O29ztFp+0WH9HQ3Zz8tjWgf1KNWMIU38ziA:cnhO2FtDAHshg
jW0cWMIr
PEiD..: -
TrID..: File type identification
Win32 Dynamic Link Library (generic) (55.7%)
Clipper DOS Executable (14.8%)
Generic Win/DOS Executable (14.7%)
DOS Executable Generic (14.6%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x131b
timedatestamp.....: 0x486b60bc (Wed Jul 02 11:04:28 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.te9t 0x1000 0x29f2 0x2a00 5.32 3540ab10cb98327c948590b121b980ed
.rda8a 0x4000 0x2097b 0x20a00 7.51 080a930263a7bd391de66b337acec9c8
.eda9a 0x25000 0x33519 0x2c00 0.00 820a81e0916bac82838fd7e74ab29b15
.i25ta 0x59000 0x2385 0x2400 0.00 a89249476df3d92282c15dbf1ae33935

( 4 imports ) 
> kernel32.dll: GetLastError, GetDateFormatA, GetLastError, HeapAlloc, GetLastError, GetStdHandle, GetLastError, lstrcmpA, GetLastError, GetModuleHandleA, GetLastError, HeapFree, GetLastError, GlobalAlloc, GetLastError, lstrcmpiA, GetLastError, lstrcpynA, GetLastError, GetStringTypeW
> advapi32.dll: RegQueryInfoKeyW, RegDeleteKeyW, RegReplaceKeyA, RegDeleteValueW, RegEnumValueW, RegGetKeySecurity, RegReplaceKeyW, RegEnumKeyW, RegLoadKeyW, RegQueryInfoKeyA, RegOpenKeyW, RegCreateKeyExW, RegQueryValueExA, RegDeleteValueA, RegQueryValueA, RegEnumKeyExW, RegFlushKey, RegCreateKeyExA, RegDeleteKeyA, RegEnumKeyExA, RegLoadKeyA, RegQueryValueExW, RegOpenKeyExW, RegOpenKeyA, RegEnumValueA, RegEnumKeyA, RegQueryValueW, RegCreateKeyW, RegOpenKeyExA
> user32.dll: DrawTextA, GetWindowTextA, LoadCursorA, DrawIconEx, GetDC, CopyImage, AppendMenuA, LoadMenuA, IsMenu, AlignRects, BlockInput, CopyRect, DrawTextW, CopyIcon, GetDlgItem, CloseWindow, CreateIcon, GetWindowTextLengthA, GetFocus, GetCursor, DialogBoxParamA, AppendMenuW, EndDialog, CalcMenuBar, InsertMenuA, DrawIcon, DialogBoxParamW, IsWindow, GetMenu
> advapi32.dll: RegLoadKeyA, RegQueryInfoKeyA, RegLoadKeyW, RegQueryValueW, RegDeleteValueW, RegOpenKeyExA, RegEnumKeyExA, RegQueryInfoKeyW, RegDeleteValueA, RegCreateKeyExA, RegQueryValueA, RegOpenKeyExW, RegCreateKeyW, RegCreateKeyExW, RegEnumKeyExW, RegOpenKeyA, RegDeleteKeyA, RegEnumValueA, RegOpenKeyW, RegDeleteKeyW, RegEnumValueW, RegReplaceKeyW, RegFlushKey, RegEnumKeyW, RegQueryValueExW, RegGetKeySecurity, RegReplaceKeyA, RegQueryValueExA, RegEnumKeyA

( 0 exports ) 
PDFiD.: -
RDS...: NSRL Reference Data Set
-

-humi- · Jul 22, 2009

ok-
mach den Scan mittels MBAM:
updaten
voller Systemscan
Log posten

Der Rechner sollte aus dem Netzwerk genommen werden- sofern dies möglich ist....

jedoch gleich vorweg:
Hinweis:
Es kann dir keiner eine Garantie geben, dass dein System nach der Reinigung sauber ist und sich nicht doch ein Schädling versteckt hat.
Die sicherste (und meist auch schnellste Lösung) bei Malwarebefall ist und bleibt das Neuaufsetzen eines Systems- alternativ: das Einspielen eines sauberen Backups.

Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig. Das heißt, das alle Daten manipuliert sein könnten, das alle Programme manipuliert sein könnten und das alle Informationen, die auf dem System gespeichert waren oder verarbeitet worden sind, an Dritte weitergegeben worden sein könnten.
Quelle: http://oschad.de/wiki/Kompromittierung
Click to expand...

Wenn du möchtest versuche ich mit dir mein Bestes....

tripke023 · Jul 22, 2009

Okay, Danke erstmal für deine Hilfe ...

Der Scan läuft? Wie lang dauert der in etwa ?

-humi- · Jul 22, 2009

der volle Scan wird laaang dauern...
Internet abstecken und abwarten bis er fertig ist- dann meldest du dich und dann schaun wir was wir machen können....

tripke023 · Jul 22, 2009

Okay, dann sicher erst wieder heute Nachmittag gegen 15:30 Uhr, da ich jetzt arbeiten muss ... lass den Scan laufen und mach das Internet aus ...

LG

tripke023 · Jul 22, 2009

So wieder da ..

Hier das Ergebnis nach dem SCAN mit MWBAM:

-humi- · Jul 22, 2009

ok jetzt weiß ich zumindest wo du deine Malware herbekommst:

EA Games Generic Keygen 190.exe
Click to expand...

Wenn du in Zukunft ein sauberes System haben möchtest und deine Daten in Sicherheit wissen willst, lass die Finger von dem Zeug....
abgesehen davon, dass es illegal ist....

Meine AW nun zur Bereinigung: setz dein System neu auf... und lerne aus deinen Fehlern

Log in or Sign up

IE öffnet sich andauernd mit ungewollten Werbe-Pop-Up´s

tripke023 ROM

Attached Files:

$hijackthis_tripke023.txt

-humi- Joker

tripke023 ROM

-humi- Joker

tripke023 ROM

-humi- Joker

tripke023 ROM

tripke023 ROM

Attached Files:

$mbam-log-2009-07-22 (15-24-22).txt

-humi- Joker

Share This Page