Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Ungewollter Seitenaufbau durch IE trotz FF Nutzung

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 10.06.2007, 18:29   #1
fulzzz
 
Ungewollter Seitenaufbau durch IE trotz FF Nutzung - Beitrag

Ungewollter Seitenaufbau durch IE trotz FF Nutzung



Hi Leute,
ich hab ein seltsames Problem mit dem IE... er baut in unregelmäßigen abständen eine Internetseite auf, obwohl ich nur FF nutzte, mit der mir angeblich ein noch sicheres Programm angeboten wird zum Download als z.B. NortonAntivirus --> das Prog soll WinAntiSpy heißen... oder ich werde dazu animiert DriverCleaner zu downloaden, sorry ich hab gelogen... eine Seite öffnet sich auch im FF und zwar winantivir
hier mal beide Internetaddressen vom IE:
DriveCleaner
WinAntiSpyware
So dass sind nur ein paar der Seiten die aufgehen... kurz nach dem Aufbau der Seiten ertönt ein mir eigentlich total fremdgewordener Sound aus dem Rechner *düdüp* und schon sagt AntiVir hier haben wir einen Trojaner der sich im Temp-Ordner befindet (C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp). Da sag ich nun immer Löschen [Hab mir leider nicht gemerkt wie der heißt... kommt als edit beim nächsten mal erscheinen rein] und dann ist erstmal gut...
Nach unbestimmter Zeit kommt das selbe Spielchen wieder... und wieder... und und und....
Da hab ich mir gedacht schauste doch mal beim Temp-Ordner vorbei und guckst mal was da so vorsich geht... und hab erst mal alles an Temporären-Dateien gelöscht. Soweit so gut. Nun kam was kommen musste mein Fehler tritt wieder auf und eine Seite öffnet sich mit IE und siehe da im Temp ordner sind 2 neue Ordner da!!! Einmal C:\Dokum~1\****\Lokale~1\Temp\e4j1A.tmp_dir5334 und dann noch C:\Dokum~1\****\Lokale~1\Temp\hsperfdata_fulzzz. Da dacht ich mir mensch so einfach löscht du gleich mal und das Problem ist weg... ja Pustekuchen nix gelöst selber Fehler wieder und FAST gleiche Ordner wieder da... warum FAST weil sich die ZAHLEN ändern beim ersten Ordner. Achso und in den Ordner sind jeweils eine Datei drin... im ersten ist es exe4jlib.jar (bleibt gleich nur Ordner ändert ZAHLEN) und im zweiten einfach nur eine Datei ohne Endung mit immer wieder wechselnden ZAHLEN (dafür bleibt Ornder gleich).... ich komm nicht weiter hab Hijack laufen lassen = kein Ergebnis und Antivir = 1 gefunden TR/BHO.O.5 wollt ich in Quarantäne verschieben ging nich... hab keine Admin-Rechte (so ein schwachsinn bin Admin auf dem Com!?!?!) Hab dann auf Löschen nach Neustart gedrückt. War aber der erste Fund nach ca. 4 Suchläufen, "normaler" Weise hat er mir ja (wie oben schon gesagt) immer einen TR im Temp-Ordner angezeigt sobald Seite sich aufgebaut hat. Sonst beim Suchlauf nix... naja irgendwie seltsam

mfg fulzzz
----> THX FOR READING AND TRY TO HELP <-----

hier noch die Hijack-LOG:
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 17:40:09, on 10.06.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Azureus\Azureus.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Dokumente und Einstellungen\fulzzz\Eigene Dateien\_admin_\HijackThis.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD LT 2002 Deu\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD LT 2002 Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD LT 2002 Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD LT 2002 Deu\AcPreview.ocx
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
und das vom AntiVir:

Zitat:
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Sonntag, 10. Juni 2007 18:43

Es wird nach 811858 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (plain) [5.1.2600]
Benutzername: fulzzz
Computername: FULZ

Versionsinformationen:
BUILD.DAT : 247 14437 Bytes 10.05.2007 11:52:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 22.04.2007 14:21:54
AVSCAN.DLL : 7.0.4.0 41000 Bytes 22.04.2007 14:21:54
LUKE.DLL : 7.0.4.11 143400 Bytes 22.04.2007 14:21:55
LUKERES.DLL : 7.0.4.0 10792 Bytes 22.04.2007 14:21:55
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 08:15:44
ANTIVIR1.VDF : 6.38.1.170 5569024 Bytes 21.05.2007 04:12:57
ANTIVIR2.VDF : 6.38.1.227 320000 Bytes 05.06.2007 17:08:05
ANTIVIR3.VDF : 6.38.2.11 82432 Bytes 09.06.2007 16:43:21
AVEWIN32.DLL : 7.4.0.32 2478592 Bytes 05.06.2007 17:08:05
AVWINLL.DLL : 1.0.0.7 14376 Bytes 22.04.2007 14:21:54
AVPREF.DLL : 7.0.2.1 24616 Bytes 22.04.2007 14:21:54
AVREP.DLL : 7.0.0.1 155688 Bytes 22.04.2007 14:21:55
AVPACK32.DLL : 7.3.0.10 360488 Bytes 03.06.2007 17:29:19
AVREG.DLL : 7.0.1.2 31784 Bytes 22.04.2007 14:21:54
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 22.04.2007 14:21:54
AVARKT.DLL : 1.0.0.17 278568 Bytes 12.05.2007 08:04:54
NETNT.DLL : 7.0.0.0 7720 Bytes 22.04.2007 14:21:55
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 22.04.2007 14:21:48
RCTEXT.DLL : 7.0.45.0 86056 Bytes 22.04.2007 14:21:48

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Sonntag, 10. Juni 2007 18:43

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mantispm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmplayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winamp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Azureus.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQLite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'soundman.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '31' Prozesse mit '31' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '12' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\mojhcfgp.dll
[FUND] Ist das Trojanische Pferd TR/BHO.O.5
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\vaxscsi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Sonntag, 10. Juni 2007 19:15
Benötigte Zeit: 31:07 min

Der Suchlauf wurde vollständig durchgeführt.

4396 Verzeichnisse wurden überprüft
202335 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 davon wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
202334 Dateien ohne Befall
752 Archive wurden durchsucht
4 Warnungen
0 Hinweise
0 Versteckte Objekte wurden gefunden
edit:\\ hier noch eine Seite die sich kurz nach erstellen des Threads geöffnet hat SystemDoctor2006.. komisch war schon wieder im FF, sonst kam die immer im IE, kann das was damit zutun haben das ich die Seiten im IE gesperrt hat über "unsichere Seiten"

Geändert von fulzzz (10.06.2007 um 18:38 Uhr)

Alt 10.06.2007, 19:26   #2
myrtille
/// TB-Ausbilder
 
Ungewollter Seitenaufbau durch IE trotz FF Nutzung - Standard

Ungewollter Seitenaufbau durch IE trotz FF Nutzung



Hi!
Schau dir mal folgende Anleitung an.
Hoffentlich wirst du den Kram gleich damit los... Ich würde dir außerdem empfehlen noch Cleanup (steht unten bei Problemen) durchlaufen zu lassen und damit deine Tempdateien zu leeren.


trying to help, but no guarantees.
lg myrtille
__________________


Alt 11.06.2007, 21:22   #3
fulzzz
 
Ungewollter Seitenaufbau durch IE trotz FF Nutzung - Standard

Ungewollter Seitenaufbau durch IE trotz FF Nutzung



Also ich hab zwar das mit dem abgesichertem Modus nich gamacht... aber seit dem Kaspersky-Online-Scan funktioniert alles wieder normal... jedenfalls noch...
THX fürs schnelle antworten und tollen Link!!!!!!!!
__________________

Alt 11.06.2007, 22:58   #4
myrtille
/// TB-Ausbilder
 
Ungewollter Seitenaufbau durch IE trotz FF Nutzung - Standard

Ungewollter Seitenaufbau durch IE trotz FF Nutzung



Das alles normal funktioniert ist schonmal ein gutes Zeichen!

Poste bitte nochmal ein Hijackthislog. Achte darauf, dass du aktive Links editierst (zb www->***)

lg myrtille

Antwort

Themen zu Ungewollter Seitenaufbau durch IE trotz FF Nutzung
0 bytes, adobe, antivirus, avg, avira, cyberlink, drivers, einstellungen, excel, exe, explorer, fehler, firefox.exe, gesperrt, help, hijack, hijackthis, immer wieder, internet explorer, monitor, notepad.exe, nt.dll, problem, programm, prozesse, quara, registry, schwachsinn, software, suchlauf, system, temp ordner, temp-ordner, trojaner, versteckte objekte, verweise, virus gefunden, warnung, warum, weg..., windows, windows xp, windows\system32\drivers, ändern




Ähnliche Themen: Ungewollter Seitenaufbau durch IE trotz FF Nutzung


  1. Trotz Speedtest langsamer Seitenaufbau
    Plagegeister aller Art und deren Bekämpfung - 27.08.2015 (3)
  2. Pup.optional.crossrider.a durch Malwarebyte erkannt - trotz Löschen + Neustart aber permanent am gleichen Ort...
    Log-Analyse und Auswertung - 02.07.2015 (18)
  3. Windows 7: Wiederkehrende Virenmeldung trotz Beseitigen durch Kaspersky
    Log-Analyse und Auswertung - 03.05.2015 (14)
  4. t-online Adresse eingeschränkt wg. mögl. Nutzung meines eMail Kontos durch Dritte
    Log-Analyse und Auswertung - 03.03.2015 (15)
  5. Internetseiten überfüllt mit Werbung durch Roll Around ads trotz ABP
    Log-Analyse und Auswertung - 20.02.2015 (21)
  6. Bei nutzung von mozila firefox cpu nutzung bei 100 prozent
    Plagegeister aller Art und deren Bekämpfung - 20.12.2014 (20)
  7. Windows Vista 32bit : Durchseuchung durch unsachgemäße Nutzung
    Plagegeister aller Art und deren Bekämpfung - 13.12.2014 (14)
  8. Firefox stottert nur noch, sehr langsamer Seitenaufbau trotz schnellen Internets
    Plagegeister aller Art und deren Bekämpfung - 20.10.2014 (10)
  9. win32.downloader.gen trotz angeblicher Beseitigung durch spybot sofort wieder da
    Log-Analyse und Auswertung - 03.02.2014 (2)
  10. Fake-Mail 1&1 Telecom, Exploit.JS.pdfka.ggb, Rechner infiziert trotz Abwehr durch Kaspersky?
    Log-Analyse und Auswertung - 29.10.2012 (9)
  11. Trotz Trojaner-Löschung durch Malwarebytes leitet Google Seiten um
    Log-Analyse und Auswertung - 20.12.2011 (37)
  12. Antimalware Doctor - Probleme mit System trotz Entfernung durch Anti Malware
    Plagegeister aller Art und deren Bekämpfung - 24.08.2010 (9)
  13. Antivir meldet Virus trotz angeblicher ENtfernung durch Malware Bytes
    Log-Analyse und Auswertung - 12.07.2010 (1)
  14. Seitenaufbau in Modemgeschwindigkeit, trotz DSL und normalem Downstream
    Log-Analyse und Auswertung - 20.03.2009 (2)
  15. anhang zur ersten hilfefrage E-mail nutzung durch fremde
    Log-Analyse und Auswertung - 10.04.2008 (1)
  16. E-MAIL Nutzung durch Fremde
    Plagegeister aller Art und deren Bekämpfung - 04.04.2008 (1)
  17. Hohe Prozessoraulastung durch vsmon.exe (trotz Deinstallation von Zonearlarm)
    Antiviren-, Firewall- und andere Schutzprogramme - 18.11.2007 (2)

Zum Thema Ungewollter Seitenaufbau durch IE trotz FF Nutzung - Hi Leute, ich hab ein seltsames Problem mit dem IE... er baut in unregelmäßigen abständen eine Internetseite auf, obwohl ich nur FF nutzte, mit der mir angeblich ein noch sicheres - Ungewollter Seitenaufbau durch IE trotz FF Nutzung...
Archiv
Du betrachtest: Ungewollter Seitenaufbau durch IE trotz FF Nutzung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.