Befallener Rechner

von **Thronator** am 21.09.2006, 17:51

Hallo. Ich hab Probleme mit meinem Rechner, d.h. er hängt sich schnell auf und diverse Popup-Fenster (http://ad.firstadsolution.com-New offer! - Microsoft Internet Explorer) werden bei der Inet Nutzung geöffnet! Ich nutze Mozilla und der Popup-Blocker ist aktiv! Außerdem benutz ich AntiVir, Spybot search & destroy, sowie ZoneAlarm.

Hijacklog:

Logfile of HijackThis v1.99.1
Scan saved at 17:42:12, on 21.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Program Files\Arcade\PCMService.exe
C:\Programme\ZoneAlarm\zlclient.exe
F:\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Steam\Steam.exe
c:\progra~1\intern~1\iexplore.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\sepp\Lokale Einstellungen\Temp\wzc72\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: GigagetIEHelper - {111CAA23-6F4F-42AC-8555-B48C1D87BBAB} - C:\WINDOWS\system32\gigagetbho_v10.dll
O2 - BHO: (no name) - {6421DCC2-583D-4ADC-B53B-D6084E9FBC34} - C:\DOKUME~1\sepp\ANWEND~1\grimplay\regs 01.exe
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "F:\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [inside lite multi test] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HOPE OBJ INSIDE LITE\bin book.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BODYANTI] C:\DOKUME~1\sepp\ANWEND~1\FIVETH~1\Partforkcomp.exe
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O8 - Extra context menu item: &Download All by Gigaget - F:\gigaGet\getallurl.htm
O8 - Extra context menu item: &Download by Gigaget - F:\gigaGet\geturl.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with NetPumper - F:\NetPumper\AddUrl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://F:\AutoCADMdt6\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://F:\AutoCADMdt6\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://F:\AutoCADMdt6\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://F:\AutoCADMdt6\AcPreview.ocx
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

von **pcgreenhorn** am 21.09.2006, 20:42

Hallo, da ist was drauf...habe hier aus einem anderen Beitrag was reinkopiert:

Complete scanning result of "regs_01.exe", received in VirusTotal at 05.11.2006, 21:18:22 (CET).
Antivirus Version Update Result
AntiVir 6.34.1.27 05.11.2006 no virus found
Avast 4.6.695.0 05.11.2006 Win32:Swizzor-gen
AVG 386 05.11.2006 no virus found
BitDefender 7.2 05.11.2006 no virus found
CAT-QuickHeal 8.00 05.11.2006 no virus found
ClamAV devel-20060426 05.11.2006 no virus found
DrWeb 4.33 05.11.2006 no virus found
eTrust-InoculateIT 23.72.5 05.11.2006 no virus found
eTrust-Vet 12.4.2205 05.11.2006 no virus found
Ewido 3.5 05.11.2006 no virus found
Fortinet 2.76.0.0 05.11.2006 suspicious
F-Prot 3.16c 05.11.2006 security risk named W32/Swizzor.DE@dl
Ikarus 0.2.65.0 05.11.2006 no virus found
Kaspersky 4.0.2.24 05.11.2006 Trojan-Downloader.Win32.Swizzor.bo
McAfee 4760 05.11.2006 Swizzor.gen
Microsoft 1.1372 05.11.2006 TrojanDownloader:Win32/Swizzor!AE9B
NOD32v2 1.1531 05.11.2006 no virus found
Norman 5.90.17 05.11.2006 Swizzor.gen
Panda 9.0.0.4 05.11.2006 Adware/Lop
Sophos 4.05.0 05.11.2006 no virus found
Symantec 8.0 05.11.2006 no virus found
TheHacker 5.9.7.141 05.10.2006 no virus found
UNA 1.83 05.11.2006 no virus found
VBA32 3.11.0 05.11.2006 no virus found
Aditional Information
File size: 15526 bytes
MD5: 6f1a89cc1f8d5b3b01c560f5c42b0d54
SHA1: 42c12afbb7e6dbdc48b723b7adb79c26546ef60e
Packers: UPC

Du hast dieses File auf dem PC, daher probiere einmal Killbox runterzuladen und damit diese Datei zu löschen.

von **Nikita** am 23.09.2006, 13:34

look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint
http://virus-protect.org/zip/look.zip

----------------------

von **Thronator** am 24.09.2006, 14:58

Hallo!

@pcgreenhorn: welche datei??

@Nikita:

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0D2C-13DD

Verzeichnis von C:\Dokumente und Einstellungen\sepp\Anwendungsdaten

13.07.2005 11:49 <DIR> .
13.07.2005 11:49 <DIR> ..
13.09.2004 12:38 <DIR> IDENTI~1 Identities
14.07.2005 11:59 <DIR> MACROM~1 Macromedia
14.07.2005 12:02 <DIR> MOZILLA Mozilla
14.07.2005 12:02 <DIR> TALKBACK Talkback
15.07.2006 18:22 <DIR> ADOBE Adobe
15.07.2006 18:22 <DIR> ADOBEUM AdobeUM
18.07.2006 20:12 <DIR> CYBERL~1 Cyberlink
20.07.2006 20:30 <DIR> BITTOR~1 BitTorrent
22.07.2006 16:57 <DIR> HELP Help
22.07.2006 17:24 <DIR> FLIGHT~1.ORG flightgear.org
22.07.2006 17:34 <DIR> ICQLITE ICQLite
22.07.2006 17:58 <DIR> GOOGLE Google
06.08.2006 14:19 <DIR> AUTODESK Autodesk
15.08.2006 18:55 <DIR> NETPUM~1 NetPumper
15.08.2006 18:55 <DIR> FIVETH~1 Fivethiscake
15.08.2006 18:56 <DIR> grimplay
04.09.2006 17:16 <DIR> PPLIVE PPLive
0 Datei(en) 0 Bytes
19 Verzeichnis(se), 11.289.133.056 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0D2C-13DD

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

13.09.2004 12:24 <DIR> .
13.09.2004 12:24 <DIR> ..
01.01.2003 23:35 <DIR> ADOBE Adobe
15.07.2006 16:50 <DIR> ANTIVI~1 AntiVir PersonalEdition Classic
15.07.2006 16:54 305 ADDR_F~1.HTM addr_file.html
15.07.2006 16:56 <DIR> SPYBOT~1 Spybot - Search & Destroy
22.07.2006 16:28 <DIR> SYMANTEC Symantec
15.08.2006 18:56 <DIR> HOPEOB~1 HOPE OBJ INSIDE LITE
1 Datei(en) 305 Bytes
7 Verzeichnis(se), 11.289.133.056 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0D2C-13DD

Verzeichnis von C:\WINDOWS\tasks

04.08.2004 05:00 65 desktop.ini
24.09.2006 14:51 6 SA.DAT
22.09.2006 20:00 264 A4FE92D491B90634.job
3 Datei(en) 335 Bytes
0 Verzeichnis(se), 11.289.133.056 Bytes frei

von **Nikita** am 24.09.2006, 16:41

Information: Netpumper + Swizzor-Trojaner
http://virus-protect.org/artikel/spyware/lop1.html

---------------------------------------------------------------------

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Files to delete:
C:\WINDOWS\system32\gigagetbho_v10.dll
C:\WINDOWS\tasks\A4FE92D491B90634.job

Folders to delete:
F:\gigaGet
F:\NetPumper
C:\Programme\NetPumper
C:\Programme\gigaGet
C:\Dokumente und Einstellungen\sepp\Anwendungsdaten\NetPumper
C:\Dokumente und Einstellungen\sepp\Anwendungsdaten\Fivethiscake
C:\Dokumente und Einstellungen\sepp\Anwendungsdaten\grimplay
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HOPE OBJ INSIDE LITE

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: GigagetIEHelper - {111CAA23-6F4F-42AC-8555-B48C1D87BBAB} - C:\WINDOWS\system32\gigagetbho_v10.dll

O2 - BHO: (no name) - {6421DCC2-583D-4ADC-B53B-D6084E9FBC34} - C:\DOKUME~1\sepp\ANWEND~1\grimplay\regs 01.exe

O4 - HKLM\..\Run: [inside lite multi test] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HOPE OBJ INSIDE LITE\bin book.exe

O4 - HKCU\..\Run: [BODYANTI] C:\DOKUME~1\sepp\ANWEND~1\FIVETH~1\Partforkcomp.exe

O8 - Extra context menu item: &Download All by Gigaget - F:\gigaGet\getallurl.htm

O8 - Extra context menu item: &Download by Gigaget - F:\gigaGet\geturl.htm

O8 - Extra context menu item: Download with NetPumper - F:\NetPumper\AddUrl.htm

PC neustarten

**
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wiedr aktivieren)

von **Thronator** am 24.09.2006, 17:43

So, hab das jetz alles durch und auch erstma nix mehr von Popups oder sowas gemerkt! Vielen Dank

Befallener Rechner

Befallener Rechner

Ähnliche Themen

Wer ist online?