Sie sind hier: Home | Forum | Software | Software Allgemein | Html/infected problem

Html/infected problem

Alt 12.04.2010, 19:31   # 1
Meister Tom
 
Registriert seit: 12.04.2010
Beiträge: 43
Seit einigen Tagen öffnen sich ständig lästige Werbefenster . Sie erscheinen meist nach 2-3 min . Könnte es sein das es an dem Virus html infected.webpage.gen liegen kann ?
wen ja wie kann ich ihn entfernen?


THx im vorraus
  Mit Zitat antworten
Alt 12.04.2010, 20:15   # 2
grunzer
Hausmeister im Virtuellen
 
Benutzerbild von grunzer
 
Registriert seit: 28.12.2006
Beiträge: 2.952
Hi,

Sein kann es schon, aber sicher ist Deine Vermutung nicht

Schick uns doch mal ein Hijackthis Logbuch, vielleicht können wir da was sehen.
Ist Dein System mit allen Updates versorgt?
Hast Du einen voll funktionsfähigen Virenscanner (und aktualisierten)?

Grüße derweil
Grunzer
__________________
Lieber eine unsichere Freiheit
als eine sichere Diktatur !
  Mit Zitat antworten
Alt 13.04.2010, 14:32   # 3
Meister Tom
Threadstarter
 
Registriert seit: 12.04.2010
Beiträge: 43
JA ich hab Avira 10 und geupdatet

  Spoiler:
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 14:30:36, on 13.4.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\DOKUME~1\NEBELW~1\LOKALE~1\Temp\Ksr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
C:\Programme\ROCCAT\Kone Mouse\KoneHID.EXE
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Klozua.exe
E:\programme\steam\steam.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
E:\Programme\RocketDock\RocketDock.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
E:\CesarFTP\server.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\PROGRA~1\ICQ7.1\ICQ.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ROCCAT\Kone Mouse\osd.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Nebelwolf\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Applic ation\chrome.exe
C:\Dokumente und Einstellungen\Nebelwolf\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Applic ation\chrome.exe
C:\Dokumente und Einstellungen\Nebelwolf\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Applic ation\chrome.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Dokumente und Einstellungen\Nebelwolf\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Applic ation\chrome.exe
E:\Programme\TrendMicro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ICQ.com Suche
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: CBAbzockschutz.InitToolbarBHO - {2e250b90-0e7a-42a3-9d65-e39f9f227fa4} - mscoree.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: COMPUTERBILD-Abzockschutz - {353e2a48-6254-4bd3-88f4-3b51a0ca7870} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Kone] "C:\Programme\ROCCAT\Kone Mouse\KoneHID.EXE"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [OCDLMgr] RunDll32.exe C:\DOKUME~1\NEBELW~1\LOKALE~1\ANWEND~1\OPENCA~1\{D CD47~1.DLL,_DLMgr2Check@16 /DLM2
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "e:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ROUA3O12PW] C:\WINDOWS\msg.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [RocketDock] "E:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Pando Media Booster] C:\Programme\Pando Networks\Media Booster\PMB.exe
O4 - HKCU\..\Run: [YVIBBBHA8C] C:\DOKUME~1\NEBELW~1\LOKALE~1\Temp\Ksr.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ7.1\ICQ.exe" silent loginmode=4
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: add to &BOM - C:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {402EE96E-2CE8-482D-ADA5-CECEEA07E16D} - http://www.turntool.com/ViewerInstall.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CesarFTP FTP Server (CesarFTP) - Unknown owner - E:\CesarFTP\server.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 8082 bytes
  Mit Zitat antworten
Alt 13.04.2010, 14:35   # 4
schnurri_
Weiß von allem etwas
 
Benutzerbild von schnurri_
 
Registriert seit: 28.11.2008
Ort: Cafe del Mar
Beiträge: 1.877
Was ist denn das hier:

C:\WINDOWS\Klozua.exe

Finde dazu auch gar nix bei google .....

Zitat:
Es wurden keine mit Ihrer Suchanfrage - Klozua.exe - übereinstimmenden Dokumente gefunden.
  Mit Zitat antworten
Alt 13.04.2010, 15:02   # 5
Meister Tom
Threadstarter
 
Registriert seit: 12.04.2010
Beiträge: 43
Ich habe keine Ahnung
  Mit Zitat antworten
Alt 13.04.2010, 17:10   # 6
grunzer
Hausmeister im Virtuellen
 
Benutzerbild von grunzer
 
Registriert seit: 28.12.2006
Beiträge: 2.952
Zitat:
Zitat von Meister Tom Beitrag anzeigen
Ich habe keine Ahnung
Gut, dann weiter

Erst mal kannst Du alles killen was "no file" oder "file missing" mit dabei stehen hat. Das sind Dateien, die zwar einen Eintrag haben, aber wohl im System nicht auffindbar sind.
Der Grund hierfür sind entweder nicht sauber deinstallierte Software oder Schadsoftware, die entweder vom Virenscanner gekillt wurde oder sich sauber von dem System versteckt.
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: CBAbzockschutz.InitToolbarBHO - {2e250b90-0e7a-42a3-9d65-e39f9f227fa4} - mscoree.dll (file missing)
O3 - Toolbar: COMPUTERBILD-Abzockschutz - {353e2a48-6254-4bd3-88f4-3b51a0ca7870} - mscoree.dll (file missing)
Und vielleicht noch mehr, die ich jetzt auf die schnelle übersehen hab!

Diese Dinge kenne ich nicht und würde ich bei Virustotal überprüfen lassen:
...Ksr.exe
C:\WINDOWS\Klozua.exe
C:\WINDOWS\msg.exe

Bedenklich finde ich diesen Eintrag und ich kann auch nicht sagen was der so treibt:
O4 - HKLM\..\Run: [OCDLMgr] RunDll32.exe C:\DOKUME~1\NEBELW~1\LOKALE~1\ANWEND~1\OPENCA~1\{D CD47~1.DLL,_DLMgr2Check@16 /DLM2


...was das auch immer sein mag?! Irgend ein 3D Zeugs. Wenn Du es kennst OK, aber ich fände es bei mir dubios!
O16 - DPF: {402EE96E-2CE8-482D-ADA5-CECEEA07E16D} - http://www.turntool.com/ViewerInstall.exe

Daß Du einen FTP-Server auf Deinem Rechner laufen hast weißt Du hoffentlich und dann wäre es ja auch OK:
E:\CesarFTP\server.exe


Ansonsten könnte die Werbung noch von irgendeiner Shareware kommen, bei der jetzt der Nutzungszeitraum abgelaufen ist und sie bei Dir fröhlich Geld für den Erzeuger generiert...
Ich hab gesehen, daß Du den SpybotS&D installiert hast. Laß den doch auch mal scannen. Was sagt der (außer Cookies)?

Grüße derweil
Grunzer
__________________
Lieber eine unsichere Freiheit
als eine sichere Diktatur !
  Mit Zitat antworten
Alt 13.04.2010, 19:23   # 7
Meister Tom
Threadstarter
 
Registriert seit: 12.04.2010
Beiträge: 43
MAleware und co gefunden mitn spybot
  Mit Zitat antworten
Alt 13.04.2010, 22:18   # 8
grunzer
Hausmeister im Virtuellen
 
Benutzerbild von grunzer
 
Registriert seit: 28.12.2006
Beiträge: 2.952
Welche denn?
Könnte sein, daß das Ding Hintertüren geöffnet hat und in Kürze wieder da ist oder noch schlimmere Freunde einladen wird...

War eine von unseren Dateien dabei? Nur interessehalber

Grüße Grunzer
__________________
Lieber eine unsichere Freiheit
als eine sichere Diktatur !
  Mit Zitat antworten

Alt 28.05.2012, 09:43 # --
News Flash
 
Benutzerbild von News Flash
 
 
 
   
Antwort
Themen-Optionen



Alle Zeitangaben in WEZ +2. Es ist jetzt 09:43 Uhr.

Kontakt - www.netzwelt.de - Archiv - Nach oben