firstadsolution adware von netpumper

[Spookykid]

Hallo Zusammen,
ich habe ein riesiges Problem mit adware von firstadsolution. Auf den Rechner hab ich mir den scheiß durch netpumper geholt.

Logfile of HijackThis v1.99.1
Scan saved at 23:34:17, on 06.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
C:\Program Files\Steam\Steam.exe
C:\Program Files\Free Download Manager\fdm.exe
C:\Program Files\Trillian\trillian.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\VideoLAN\VLC\vlc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Winamp\winamp.exe
E:\BACKUP\MOZILL~1\THUNDE~1.EXE
C:\Documents and Settings\Administrator\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [Poll Error] C:\DOCUME~1\ADMINI~1\APPLIC~1\BOLDAI~1\Body Fast.exe
O4 - Startup: Trillian.lnk = C:\Program Files\Trillian\trillian.exe
O4 - Global Startup: ATITool.lnk = C:\Program Files\ATITool\ATITool.exe
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site with Free Download Manager - file://C:\Program Files\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{6DF43013-3F6B-4C8E-A82A-207760BB06A3}: NameServer = 192.168.0.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

Ich habe mal auf gutglück versucht ein paar sachen zu löschen. Dabei ist mir aufgefallen, dass diese beiden Dateien jedesmal nach dem löschen wieder da waren.

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

Vielen Dank für eure Hilfe, denn sonst bekomme ich das Zeugs, ohne System neu installieren, nicht mehr weg.

Spookykid

 

[raman]

Das ist ein Loop Trojaner:

O4 - HKCU\..\Run: [Poll Error] C:\DOCUME~1\ADMINI~1\APPLIC~1\BOLDAI~1\Body Fast.exe

Nutze bitte Cureit im abgesicherten Modus:

http://virus-protect.org/cureit.html

Poste danach, was es gefunden hat.

BTW: Stelle dein Antivir bitte so ein, lasse aber bitte nichts reinigen, was als "HEUR/" gemeldet wird: http://board.protecus.de/t23979.htm

 

[Spookykid]

Das ist ein Loop Trojaner:

O4 - HKCU\..\Run: [Poll Error] C:\DOCUME~1\ADMINI~1\APPLIC~1\BOLDAI~1\Body Fast.exe

Nutze bitte Cureit im abgesicherten Modus:

http://virus-protect.org/cureit.html

Poste danach, was es gefunden hat.

BTW: Stelle dein Antivir bitte so ein, lasse aber bitte nichts reinigen, was als "HEUR/" gemeldet wird: http://board.protecus.de/t23979.htm

ok cureit hat gar nichts gefunden. Wie kann ich bei Anivir diese Einstellung tätigen?

Spookykid

 

[Spookykid]

ok konnte das Problem lösen. Ich habs nach einer Anleitung von www.trojaner-board.de durchgeführt. Wenn es copyrightprobleme geben sollte bitte löschen.

Anleitung zur Swizzor.A Entfernung


Erstmal einen Satz dazu was Swizzor ist, und wie er sich verbreitet. Swizzor ist ein Programm das lediglich dafür da ist Werbepopups einzuspielen und sich selbst upzudaten.
Der Verbreitungsweg ist meist Huckepack mit anderer Software als sogenanntes Sponsorenprogramm, die bekanntesten Programme dafür sind Netpumper und MessengerPlus3. Jetzt aber zur Entfernung:


    * 1.) Deinstalliert über Start>>Eintellungen>>Systemsteuerung>>Software das Programm das den Swizzor eingeschleust hat, z.B. Netpumper oder MessengerPlus3. Macht dann einen Neustart, wenn dann keine Popups oder Meldungen des AVs mehr kommen sollte es das schon gewesen sein.


    * 2.) Besorgt euch HijackThis und scannt damit euer System.


    * 3.) Normalerweise hat Swizzor mindesten zwei Einträge, einen O2 und einen O4 Eintrag, diese verweisen immer auf Ordner in folgendem Pfad:
      C:\DOKUMENTE UND EINSTELLUNGEN\*USER*\ANWENDUNGSDATEN\*beliebiger Ordnername*

      *User* Steht für einen beliebigen Benutzer, kann aber auch den Pfad "All Users" meinen.

      Häufig werden die Ordnernamen bei HijackThis abgekürzt, das sieht dann folgendermaßen aus:
      C:\DOKUME~1 (~1 steht also für beliebig folgende Buchstaben oder Zahlen)

      Mal ein paar Beispieleinträge, damit ihr wißt nach was ihr suchen müßt:

      O2 - BHO: (no name) - {4774DFA6-2A34-46A1-AD67-A81DC29573FB} - C:\DOKUME~1\*User*\ANWEND~1\EXITSI~1\shimwipe.exe
      O2 - BHO: (no name) - {C434066A-AFBD-C484-4679-77547D40E815} - C:\DOKUME~1\*User*\ANWEND~1\FACEVI~1\bleh live.exe
      O4 - HKLM\..\Run: [plan load film pop] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OkayDrawPlanLoad\dale kind.exe
      O4 - HKLM\..\Run: [01FlagAimDate] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Popcoal01flag\Chic thunk.exe


    * 4.) Wenn ihr jetzt die betreffenden einträge gefunden habt geht ihr in den abgesicherten Modus und löscht dort die betrefenden Ordner, bei den Beispieleinträgen wären das folgende:

      C:\DOKUME~1\*User*\ANWEND~1\EXITSI~1\
      C:\DOKUME~1\*User*\ANWEND~1\FACEVI~1\
      C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OkayDrawPlanLoad\
      C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Popcoal01flag\

      dann, immernoch im abgesicherten Modus, fixt (Haken davor und auf "fix checked") ihr mit HijackThis noch die jeweiligen O2 und O4 Einträge und, falls vorhanden, einen R1/R0 Eintrag der folgendermaßen aussieht:

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.ktqiyvfudnpyyjefgkwps.net/V6mVQg00TdIVfw/eyPEwBsSNByJ6INmtFOBkQhZTjKezSt4pixNYZXV24zqMkTzU. html
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.dfkeguzhmpf.biz/V6mVQg00TdI7SCuHe9XeVKra9janNgcSAMfVLleE0yM.html


    * 5.) Geht in den Ordner C:\Windows\Tasks, dort sucht ihr nach einer *.job Datei, die aus 16 zusammengewürfelten Buchstaben/Zahlen besteht und zur vollen Stunde erstellt wurde. Beispiele hierfür:

      C:\WINDOWS\tasks\A58DA13791965BA7.job
      C:\WINDOWS\tasks\AE3C1401919B8531.job
      C:\WINDOWS\tasks\A60C46BB9187FF23.job

      löscht diese Datei mit killbox on reboot.


    * 6.) Jetzt löscht ihr noch eure Temp Dateien mit Cleanup! und deaktiviert die Systemwiederherstellung, führt einen Neustart durch und aktiviert sie wieder. Löscht ev. noch die Backups von HijackThis (unter "view the list of Backups" die jeweiligen aussuchen und auf delete klicken).


    * 7.) Macht zur Kontrolle noch einmal einen Onlinescan bei Panda dies muss mit dem IE geschehen, da ActiveX hierfür von Nöten ist.

 

[raman]

HAst du alle loopverzeichnisse finden und loeschen koennen? Ebenso wie den job Eintrag?

Antivir sollte diese Varianten mit seiner heuristik finden koennen. Darum der Link auf protecus.de.

BTW: Es wird ein Besuch von www.windowsupdate.com faellig!

 

[Spookykid]

HAst du alle loopverzeichnisse finden und loeschen koennen? Ebenso wie den job Eintrag?

Antivir sollte diese Varianten mit seiner heuristik finden koennen. Darum der Link auf protecus.de.

BTW: Es wird ein Besuch von www.windowsupdate.com faellig!

Sp2 bin ich gerade am installieren. Ich hielt es bisher immer für eine Performancebremse, deshalb kommt es jetzt erst auf den Rechner. Diese *.job Dateien waren in C:\Windows\tasks nicht zu finden, deshalb konnte ich sie auch nicht löschen. Ich werde nacher mal Antivir einen kompletten Systemcheck machen lassen ob es noch was findet.

Spookykid

 

[raman]

Den Job siehst du nur, wenn du versteckte und Systemdateien sichtbar machst: http://people.freenet.de/rene-gad/invisible.html

 

[Spookykid]

Den Job siehst du nur, wenn du versteckte und Systemdateien sichtbar machst: http://people.freenet.de/rene-gad/invisible.html

hmm selbst nach alle Dateien anzeigen stand da nichts drin. Oder muss ich in den abgesicherten Modus?

 

[raman]

Sie muss nicht unbedingt da sein, nutze die Bat Datei aus diesem ARchiv: http://virus-protect.org/zip/look.zip und poste den Inhalt hier.

 

[Spookykid]

Sie muss nicht unbedingt da sein, nutze die Bat Datei aus diesem ARchiv: http://virus-protect.org/zip/look.zip und poste den Inhalt hier.

 Volume in drive C has no label.
 Volume Serial Number is 0C41-6F2F

 Directory of C:\

02.07.2006  15:19    <DIR>                       3Com
01.07.2006  00:02                32              ALCSetup.log
30.06.2006  23:56    <DIR>                       ATI
30.06.2006  15:02                 0              AUTOEXEC.BAT
30.06.2006  15:02                 0              CONFIG.SYS
01.07.2006  15:47               216 DEBUGT~1.LOG DebugTrace-RockallDLL.log
07.07.2006  00:35           101.870              dirdat.txt
30.06.2006  23:45    <DIR>          DOCUME~1     Documents and Settings
07.07.2006  20:57                 0              look.txt
07.07.2006  11:10    <DIR>          PROGRA~1     Program Files
01.07.2006  18:09    <DIR>          PROGRA~2     Programme
07.07.2006  14:46    <DIR>                       tmp
07.07.2006  20:52    <DIR>                       WINDOWS
               6 File(s)        102.118 bytes
               7 Dir(s)  56.955.748.352 bytes free
 Volume in drive C has no label.
 Volume Serial Number is 0C41-6F2F

 Directory of C:\

02.07.2006  15:19    <DIR>                       3Com
01.07.2006  00:02                32              ALCSetup.log
30.06.2006  23:56    <DIR>                       ATI
30.06.2006  15:02                 0              AUTOEXEC.BAT
30.06.2006  15:02                 0              CONFIG.SYS
01.07.2006  15:47               216 DEBUGT~1.LOG DebugTrace-RockallDLL.log
07.07.2006  00:35           101.870              dirdat.txt
30.06.2006  23:45    <DIR>          DOCUME~1     Documents and Settings
07.07.2006  20:57               993              look.txt
07.07.2006  11:10    <DIR>          PROGRA~1     Program Files
01.07.2006  18:09    <DIR>          PROGRA~2     Programme
07.07.2006  14:46    <DIR>                       tmp
07.07.2006  20:52    <DIR>                       WINDOWS
               6 File(s)        103.111 bytes
               7 Dir(s)  56.955.748.352 bytes free
 Volume in drive C has no label.
 Volume Serial Number is 0C41-6F2F

 Directory of C:\WINDOWS\tasks

07.07.2006  16:00               284 A255F883903A6A07.job
31.03.2003  14:00                65 desktop.ini
07.07.2006  20:52                 6 SA.DAT
               3 File(s)            355 bytes
               0 Dir(s)  56.955.748.352 bytes free

 

[raman]

Das ist die Datei, die du loeschen musst:

c:\windows\tasks\A255F883903A6A07.job

Nutze auch noch die Datentraegerbereinigung: http://support.microsoft.com/default.aspx?scid=kb;de;315246