ungewollt öffnet sich bei mir das Internet

mabi1205 · 01.12.2005, 13:43

ich hoffe ihr könnt mir helfen, seit einer guten stunde öffnet sich bei immer wieder eine internetseite (etwas mit love... ). ich weiß gar nicht warum.

Logfile of HijackThis v1.99.1
Scan saved at 13:27:23, on 01.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\PRINTKEY2000.EXE
\srvsql01\Telefonverzeichnis\Telefonverzeichnis.exe
C:\Programme\Trend Micro\OfficeScan Client\ofcdog.exe
C:\Programme\Trend Micro\OfficeScan Client\pccntupd.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Microsoft Office\OFFICE11\MSACCESS.EXE
C:\Programme\little_helper2\little_helper2.exe
C:\Programme\little_helper2\little_helper2.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\unzipped\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.de.ag
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://r.office.microsoft.com/r/rlidOfficeUpdate?clid=1031
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von ***-Werk GmbH & Co.KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.222.100:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.222.100;*ebay*.*;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2EC2C986-CC3E-41EF-AC7C-2BF3F2968264} - (no file)
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [EUSBSTORC] C:\Program Files\EUSBSTORC.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TotalRecorderScheduler] C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_3
O4 - Startup: Microsoft Office Outlook 2003 (2).lnk = ?
O4 - Startup: PRINTKEY2000.EXE
O4 - Startup: Telefonverzeichnis.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: little_helper2.lnk = C:\Programme\little_helper2\little_helper2.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://ntserver01/officescan/ClientInstall/WinNTChk.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = int.***-werk.de
O17 - HKLM\Software\..\Telephony: DomainName = int.***-werk.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{12713617-88A2-4B19-A26F-C5041EDAB3EF}: NameServer = 85.237.87.166,217.20.114.128
O17 - HKLM\System\CCS\Services\Tcpip\..\{E41EB2B4-233F-4025-9C00-0CB7DFBDFBD8}: NameServer = 85.237.87.166,217.20.114.128
O17 - HKLM\System\CCS\Services\Tcpip\..\{FBCC02A9-8E71-4523-8EED-4BF5EB5ADD58}: NameServer = 85.237.87.166,217.20.114.128
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = int.***-werk.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{12713617-88A2-4B19-A26F-C5041EDAB3EF}: NameServer = 85.237.87.166,217.20.114.128
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InterBase Server (InterBaseServer) - Unknown owner - c:\programme\jessenlenz\pdap7\db\intrbase6\bin\ibserver.exe (file missing)
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

stupormundi · 01.12.2005, 13:51

Servus!

Zitat:

(etwas mit love... )

Das ist ja nett!!

Aber Spass beiseite!
Lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, update vor dem Scan, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!
stupormundi

mabi1205 · 01.12.2005, 14:32

kann es sein das sich die dateinamen geändert haben. ich finde anstatt kavupd.exe eine esupdate.exe und anstatt mwav.exe eine mwavl.exe

stupormundi · 01.12.2005, 14:35

Servus wieder!
Hmm ...!? Das Problem scheint tatsächlich des öfteren aufzutauchen - da bin ich jetzt momentan überfragt!
Poste bitte die Liste jener ausführbaren Dateien (*.exe, *.com), welche nach dem Entpacken im Ordner bases_x liegen
stupormundi

mabi1205 · 01.12.2005, 15:19

habe mal n screenshot von den dateien gemacht.
habe auch gerade eScan durchlaufen lassen. 4 viren wurden gefunden.

mabi1205 · 01.12.2005, 15:37

hallöchen,

bei den virusmeldungen habe ich immer diesen eintrag :"No Action Taken."

z.b.
File C:\WINDOWS\system32\omnithread_rt.dll tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.g. No Action Taken.

was bedeutet denn das?

ungewollt öffnet sich bei mir das Internet

Log-Analyse und Auswertung: ungewollt öffnet sich bei mir das Internet