sobald ich online bin, kommen alle paar minuten popups, dachte es liegt am ie, opera gesaugt, installed, selber mist auch bei opera

hab spybot, adaware, antivir xp,ccleaner,FxSpL2Me (2), cws schredderer und ewido laufen lassen, jeweils die aktuellen versionen versteht sich, nem menge mist gefunden, gelöscht und rebootet, aber das eigentliche problem ist immer noch vorhanden

das ganze im abgesichertem modus

hier mal paar urls die ständig aufgerufen werden
folgende popups tauchen in opera auf, also im opera fenster, wenn ich nur ie laufen habe, tauchen sie auch im ie auf
http://www.blow-outsales.com/normal/yyy65.html
http://www.z404.com/ad/az_landing.php
http://www.usenext.de/index.cfm?TD=367846
http://www.uniqueoffer-s.com/normal/yyy65.html

dann gibts da noch andere, ich surfe mit opera, aber diepopups tauchen in extra ie fenstern auf+ alles was ich sonst grad mache minimiert sich, movies, games, proggys, die minimierung ist verständlich, sind ja auch werbe popups

http://certified-safe-downloads.com/...er=ellregclean

http://popunder.paypopup.com/adsDirect.php?

http://www.ecommerc-e.com/normal/yyy...ter=&def url=

http://www.buyer-shabit.com/normal/yyy102.html

http://www.blow-outsales.com/normal/yyy102.html

http://www.browserbuy-out.com/normal/yyy102.html

http://www.realcoupon-s.com/normal/yyy102.html

http://www.inter-netsuggestions.com/normal/yyy102.html

http://www.uniqueoffer-s.com/normal/yyy102.html

hj log habe ich auch gemacht

Code:

       Logfile of HijackThis v1.99.1
Scan saved at 01:09:26, on 28.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
D:\PROGRA~1\SSS(SC~1\SIMPLESCREENSHOT.EXE
C:\Programme\Lexmark 5200 series\lxbtbmgr.exe
C:\Programme\Lexmark 5200 series\lxbtbmon.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
d:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Teamspeak2\TeamSpeak.exe
C:\WINDOWS\system32\devldr32.exe
D:\mIRC\mirc.exe
D:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
D:\Programme\Opera8.5\Opera.exe
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
D:\D-o-w-l-o-a-d-s\system\antivir gedöns\HijackThis.exe
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SimpleScreenshot] D:\PROGRA~1\SSS(SC~1\SIMPLESCREENSHOT.EXE
O4 - HKLM\..\Run: [Lexmark 5200 series] "C:\Programme\Lexmark 5200 series\lxbtbmgr.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6281796E-203C-4D3D-925D-396CBE2D1F4E}: NameServer = 217.237.151.225 217.237.150.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{6281796E-203C-4D3D-925D-396CBE2D1F4E}: NameServer = 217.237.151.225 217.237.150.225
O20 - Winlogon Notify: Reinstall - C:\WINDOWS\system32\k6jslg1716.dll
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxbt_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbtcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

der 020 eintrag, ist ganz klar böse, soweit ich in anderen thread/foren gelesen habe, kommt nach dem löschen auch immer und immer wieder(gute pc proggys sind eher selten so hartnäckig^^)

langsam aber sicher bekomm ich das gefühlt ich hätte die neuste version, von dem mist, was es auch sein mag, verschiedenste leute haben mit verschiedensten proggys ähnliche probleme gelöst, bei mir scheinen die dinger nicht zu ziehen, hoffentlich kann einer von euch einen manuellen weg vorschlagen(dann plz etwas genauer ins detail gehen(urls zu einlietungen) weil ich eher wenig ahnung habe)

#23

Mach nen Backup deiner Eigenen Dateien,
formatieren,
installieren.
Dann biste clean und schneller biste auch.

Das würd ich Dir auch raten.
Dein Rechner ist ja komplett verseucht.
Vielleicht solltest Du Dir vorher auch mal überlegen, wie Du zukünftig die Sicherheit deines Rechners erhöhst..

Windows Updates,
vernünftigen Virenscanner,
Dingens,
etc...

daarkside

naja komplett verseucht, das einziege was mich stört ist diese popup kiste und sowas wird sich wohl ohne format lösen lassen

Sieht nach Look2Me aus, fast so nervig wie Coolwebsearch.

netlord

moin

eisenblut hat natürlich recht. ansonsten wäre es auch so kein problem gewesen: siehe hier

daarkside

jo hat gepasst, thx

aNtiCHrist

Für die Zukunft solltest du am besten bei Opera bleiben oder zumindest einen anderen Browser als den IE nutzen und mal http://board.gulli.com/thread/242574...s-zu-browsern/ lesen.

Sceric1235

guten abend,
habe das gleiche problem, nur dass ich es nicht mit look2me-fix beheben kann, sind auch die gleichen pop-ups, die geöffnet werden. hab mal nen scan gemacht:

Code:

Logfile of HijackThis v1.99.1
Scan saved at 21:14:40, on 16.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Softex\OmniPass\Omniserv.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ssoftsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Softex\OmniPass\scureapp.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\PicoZip\PicoZipTray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\WäschB\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.3:8080
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [OmniPass] C:\Programme\Softex\OmniPass\scureapp.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [second] C:\Dokumente und Einstellungen\W„schB\Desktop\Neuer Ordner (2)\l2mfix\second.bat
O4 - HKCU\..\Run: [PicoZip] C:\PROGRA~1\PicoZip\PicoZipTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe (file missing)
O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Programme\Softex\OmniPass\Omniserv.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Cryptainer service (ssoftservice) - Cypherix - C:\WINDOWS\SYSTEM32\ssoftsrv.exe

wäre über schnelle anworten sehr erfreut, vielen dank schonmal.

mfg, eric

Der Scan sieht sauber aus. Schau dir die Prozesse mal mit dem Neuber an.

Sceric1235

hab ich schon, hier ist das ergebnis, kommt mir eigentlich nichts unbekannt vor?!
http://people.freenet.de/weitere_daten/spyinfo.html

ne ahnung, was bei hijack, der eintrag O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/v...fo/webscan.cab ist???

mfg

Der O16 ist ungefährlich, ein Programm von Computer Associates. Die anderen Programme wie Cryptainer PE wirst du kennen, wenn du sie installiert hast. Es kann sich noch etwas hinter den svchost.exe verstecken, die kannst du dir ganz gut mit dem PE ansehen, allerdings wird das jetzt komplizierter. Ganz böse wäre natürlich ein Rootkit, das ist nicht nur schwer zu erkennen, sondern ebenso schwer richtig zu diagnostizieren, auch wenn mit RootkitRevealer oder Blacklight mittlerweile erste Tools zur Verfügung stehen. Du hast nicht zufälligerweise einmal eine Audio-CD mit dem XCP-Kopierschutz abgespielt?

Sceric1235

erstmal schonmal vielen dank!!! hab mir pe geladen. wie kann ich da unter den svchosts was entdecken? schon möglich, mit dem xcp-kopierschutz. ich lass einfach mal das removal-tool von microsoft drüber laufen.

aNtiCHrist

Wenn du das Tool zum Entfernen bösartiger Software meinst, das kannst du so ziemlich vergessen, scan das System lieber (am besten von einem parallel instalierten Betriebssystem aus) mit einem guten Virenscanner wie z. B. Kaspersky durch.

Das XCP-Rootkit dürftest du aber nur dann auf dem System haben, wenn du Import-CDs abgespielt hast, auf dem europäischen Markt sind die ja afaik nicht angeboten worden.

Sceric1235

das too hat auch nichts gefunden und andere virenscanner und antispy hab ich schon drüberlaufen lassen.

Wenn du eine svchost anklickst, wird im unteren Fenster eine Menge Information ausgegeben. Mit den ersten Einträgen kann man erkennen, ob dort eine sogenannte Code Insertion stattgefunden hat. Ein Windowsprozess sieht z.B. so aus:

Code:

Type	Name
Desktop	\Default
Directory	\Windows
Directory	\BaseNamedObjects
Directory	\KnownDlls
Event	\BaseNamedObjects\{6361C2FE-6CCA-4A43-83E9-CAE89E35B860}ShellHWDetection
Event	\BaseNamedObjects\crypt32LogoffEvent
Event	\BaseNamedObjects\AgentToWkssvcEvent
Event	\BaseNamedObjects\WkssvcToAgentStartEvent
Event	\BaseNamedObjects\WkssvcToAgentStopEvent
Event	\BaseNamedObjects\wkssvc:  MUP finished initializing event
Event	\BaseNamedObjects\ReSyncKernel
Event	\Device\DmControl\VxKernel2VoldEvent
Event	\LanmanServerAnnounceEvent
Event	\BaseNamedObjects\SRCounter
Event	\BaseNamedObjects\SRStopEvent
Event	\BaseNamedObjects\SRInitEvent
Event	\BaseNamedObjects\SRIdleReqEvent
Event	\BaseNamedObjects\SENS Started Event
Event	\BaseNamedObjects\W32TIME_NAMED_EVENT_SYSTIME_NOT_CORRECT
Event	\BaseNamedObjects\userenv: Machine Group Policy has been applied
Event	\BaseNamedObjects\DINPUTWINMM
Event	\BaseNamedObjects\WINMGMT_COREDLL_CANSHUTDOWN
Event	\BaseNamedObjects\WINMGMT_PROVIDER_CANSHUTDOWN
Event	\BaseNamedObjects\WMI_SysEvent_LodCtr
Event	\BaseNamedObjects\WMI_SysEvent_UnLodCtr
Event	\BaseNamedObjects\WMI_RevAdap_Set
Event	\BaseNamedObjects\WMI_RevAdap_ACK
Event	\BaseNamedObjects\WMI_ProcessIdleTasksStart
Event	\BaseNamedObjects\WMI_ProcessIdleTasksComplete
Event	\BaseNamedObjects\userenv:  User Profile setup event
Event	\BaseNamedObjects\IPNAT
Event	\BaseNamedObjects\WBEM_ESS_OPEN_FOR_BUSINESS
Event	\BaseNamedObjects\WINMGMT_PROVIDER_CANSHUTDOWN
Event	\BaseNamedObjects\SC_AutoStartComplete
Event	\BaseNamedObjects\{6361C2FE-6CCA-4A43-83E9-CAE89E35B860}ShellHWDetection

Einem Nichtprogrammierer Code Insertion zu erklären ist nicht ganz einfach, vereinfacht kann man es als Huckepackreiten auf einem anderen Prozess beschreiben. Nach aussen sieht man dann nur diesen Prozess. Das Verfahren hat durchaus seine Berechtigung, kann aber auch misbraucht werden.

Sceric1235

bei den svchost prozessen wird bei mir gar nichts angezeigt, bei keiner

Das untere Fenster ist wohl nicht eingeblendet, drücke STRG+L. Mit STRG+D und STRG+H kannst du zwischen DLLs und Handles umschalten. Die ersten DLLs des o.a. Prozesse sehen so aus:

Code:

acgenral.dll	Windows Compatibility DLL	Microsoft Corporation	5.01.2600.2558	0x1CA000	
activeds.dll	ADs Router-Ebene-DLL	Microsoft Corporation	5.01.2600.2180	0x33000	
adsldpc.dll	DLL für ADs LDAP Provider C	Microsoft Corporation	5.01.2600.2180	0x25000	
advapi32.dll	Erweitertes Windows 32 Base-API	Microsoft Corporation	5.01.2600.2180	0xAA000	
advpack.dll	ADVPACK	Microsoft Corporation	6.00.2900.2180	0x29000	
apphelp.dll	Application Compatibility Client Library	Microsoft Corporation	5.01.2600.2180	0x22000	
atl.dll	ATL Module for Windows XP (Unicode)	Microsoft Corporation	3.05.2284.0000	0x11000	
audiosrv.dll	Windows Audio Service	Microsoft Corporation	5.01.2600.2180	0xD000	
authz.dll	Authorization Framework	Microsoft Corporation	5.01.2600.2622	0x11000	
browser.dll	Computer Browser Service DLL	Microsoft Corporation	5.01.2600.2180	0x15000	
cabinet.dll	Microsoft® Cabinet File API	Microsoft Corporation	5.01.2600.2180	0x14000	
certcli.dll	Microsoft® Zertifikatsdienste-Client	Microsoft Corporation	5.01.2600.2180	0x33000	
clbcatq.dll		Microsoft Corporation	2001.12.4414.0308	0x7F000

Das geht jetzt noch eine ganze Weile so weiter. Eigentlich sieht man da recht schnell, was nicht von einer vertrauenswürdigen Firma (ok, MS als vertrauenswürdig zu bezeichnen entbehrt nicht einer gewissen Ironie) stammt.

Sceric1235

leider fehlanzeige. ist nichts sichtbar bei den svchosts. bei msmsgs zb. kann ich das alles sehen, bei den svchosts allerdings nicht.

Reichlich merkwürdig. Durchsuche deine Platte nach der svchost.exe. Es sollten nur zwei Dateien zu finden sein, in %windir%\system32 und %windir%\system32\dllcache. Beide Dateien sind digital signiert von MS, in den Eigenschaften findet sich einiges unter Version. Wenn du ganz sicher sein willst, alle Files zu finden, geht das am Besten in einer DOS-Box mit dem Befehl "attrib %systemdrive%\svchost.exe /s", dauert aber.

Sceric1235

also, mein security taskmanager zeigt wie man auch in dem vorhin geposteten link sieht 8 svchost.exe prozesse an, allerdings liegen alle in \system32. vier dieser prozesse lauschen und senden allerding über verschiedene ports, ist das normal? in der windows suche, hab ich auch nur 2 gefunden.

Sceric1235

glaube ich hab ihn, läuft eventuell über den system prozess. ist warscheinlich dieser hier: Troj/Cheuko-C

fals er das war, verabschiede ich mich und bedanke mich für die hilfe. wenn nicht, bin ich spätestens morgen wieder hier

Sollte es dieser Trojaner sein, wäre es toll, wenn du beschreiben würdest, wie du ihn identifiziert und beseitigt hast. Das könnte für sein nächstes Opfer äußerst hilfreich sein.

Sceric1235

habe ne unbekannte dll im systemprozess gefunden (siehe bild)

hab danach gegooglet und bin bei sophos fündig geworden. Virendefinition

hab erstmal die bei sophos angegebenen dateien inklusive der unbekannten dll gelöscht (befinden sich unter system32 und system32/drivers) und dann die registry einträge gelöscht. bisher hats geklappt.

aNtiCHrist

Mit was für einem Virenscanner hast du das System denn untersucht, dass der die Datei nicht erkannt hat? Oder waren die Virusdefinitionen schon ein paar Tage alt? Durch das Rootkit versteckt war die ja offenbar nicht.

Durch einen Scan von einem sauberen System aus hättest du den selbst dann finden müssen. So einen Scan würde ich auch jetzt noch mal nachholen, und selbst wenn der nichts findet würde ich in Zukunft von empfindlicheren Sachen wie Onlinebanking (insbesondere ohne Smartcard) auf diesem System absehen, da es eventuell immer noch kompromittiert ist.

Unabhängig davon solltest du ermitteln, was du falsch gemacht hast, sodass es überhaupt zu dem Befall gekommen ist. Leichtsinnigkeit? Bekannte Sicherheitslücken im Betriebssystem oder der genutzten Software? Patches nicht eingespielt bzw. nicht die empfohlenen Workarounds oder eine andere nicht betroffene Software genutzt, bis Patches verfügbar war? Insbesondere den Internet Explorer (den du vermutlich bisher genutzt hast?) solltest du nicht mehr nutzen, es gibt deutlich modernere Browser wie Firefox oder Opera, die auch nicht so anfällig sind.

Zitat:

vier dieser prozesse lauschen und senden allerding über verschiedene ports, ist das normal?

Vermutlich leider ja, Abhilfe schafft http://ntsvcfg.de/.

Anzeige