Hallo allerseits,

dies ist mein erster Eintrag hier und ich hoffe dabei keine Fehler zu machen...

Beschreibung des Problems: Vor kurzem habe ich meinen Laptop komplett neu aufgesetzt, um die Probleme zu lösen, die ich hatte. Für ein paar Tage war dann auch alles in Ordnung, aber jezt ist wieder alles beim alten.
D.h. mein Internetbrowser öffnet sich ständig von alleine (egal ob ich grad online bin oder nicht). Wenn ich mal kurz weg bin, kann es passieren, dass über 100mal das Startfenster offen ist (dabei ist es egal, ob ich Firefox oder IE benutze). Ein weiteres Problem ist, dass sich Microsoft Outlook von alleine öffnet, und sobald ich es schließe auch schon wieder offen ist.
Meine Befürchtung ist, dass es sich um einen Wurm/Trojaner handelt, der sich reinstalieren kann. Die AV-Programme finden nichts bedrohliches (derzeit installiert: Antivir, Adaware, spybot s&d). Mit 2 anderen AV-Programmen (ich glaube Kaspersky und Spy-Sweeper) habe ich (vor der Neuaufsetzung) eine Bedrohung namens Oscarbot.KD entdeckt.
Meine Verzweiflung hält nun schon seit langem an, so dass ich viel Zeit hatte zu googeln und letztendlich doch nicht weiter zu kommen. Ein Artikel, der eine Bedrohung namens Poison Ivy beschreibt, verspricht ebenfalls nichts gutes (link: http://kb.mozillazine.org/Firefox.exe_always_open).

Im folgenden poste ich das HJTlog:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:44:45, on 02.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Dokumente und Einstellungen\Comp\Desktop\Tools\stinger349.exe
C:\WINDOWS\regedit.exe
C:\Programme\Joost\xulrunner\tvprunner.exe
C:\Programme\Ares\Ares.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Comp\LOKALE~1\Temp\Temporäres Verzeichnis 2 für HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:defficial
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ares] "C:\Programme\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Dokumente und Einstellungen\Comp\Desktop\Tools\HijackThis\HijackThis.exe /startupscan
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: CC Web-Interface - http://localhost:4002/cookie.cooker/loadifscript
O8 - Extra context menu item: Formulare ausfüllen (echte Daten) - http://localhost:4002/cookie.cooker/fillscriptp
O8 - Extra context menu item: Formulare ausfüllen (zufällig) - http://localhost:4002/cookie.cooker/fillscriptr
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Werbung blockieren - http://localhost:4002/cookie.cooker/scriptwerbung
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Programme\Ares\chatServer.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\RpcSandraSrv.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe

--
End of file - 5838 bytes


Wäre nett, wenn mir jemand in meiner misslichen Lage weiter helfen könnte, bevor mein Laptop


MfG, keinschach

Hallo, vielleicht liegt es an PartyPoker. Hast du die exe von der Original Seite PartyPoker.com downgeloadet?

Zitat:

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe

Wenn nicht dann kann sich dieses Verhalten zeigen.

Zitat:

Wenn du PartyPoker.exe startest läuft diese versteckt und startet den Internet Explorer im Hintergrund.

Wenn du den Internet Explorer öffnest verbindet sich die versteckte PartyPoker.exe zu diversen PartyPoker Webseiten und zeigt diese als mehrfache Pop-Ups mit Werbung.

Ich würde das Proggi mal deinstallieren und schauen, ob sich dann noch Seiten öffnen.

Gruss

PS: Ansonsten entdecke ich jetzt nichts im logfile

Zitat:

O4 - HKCU\..\Run: [HijackThis startup scan] C:\Dokumente und Einstellungen\Comp\Desktop\Tools\HijackThis\Hijack This.exe /startupscan

und

Zitat:

C:\DOKUME~1\Comp\LOKALE~1\Temp\Temporäres Verzeichnis 2 für HiJackThis.zip\HijackThis.exe

wie paßt das? Hast Du HJT installiert und es dann noch mal so laufen lassen?

Bata

Erstmal danke für die schnellen Antworten!

@felixx65: An PartyPoker sollte es nicht liegen, da ich es erst nach der Neuaufsetzung installiert habe und das Problem schon davor bestand.

@infintiy: Was bedeutet AMR Modem und wie kann ich das Überprüfen? Hatte von nem Freund die Treiber bekommen. Kann sein, das da etwas nicht passend ist...

@BataAlexander: Hatte erst HJT 1.99 drauf, mir aber bevor ich hier das lofile reingestellt habe noch die neuste version von HJT besorgt.


Bin gespannt, ob euch diese Infos weiterhelfen und eine erneute Neuaufsetzung des Systems umgangen werden kann. Was ist zu dem Artikel (linkadresse hatte ich zuvor gepostet) zu sagen? Und weiß jemand was mit Oscarbot.Kd anzustellen (irgendein KB9... von Microsoft was genau dagegen helfen soll, hat jedenfalls nichts bezweckt)?


MFG, keinschach

Wenn Dir dieses Patch fehlt, dann fehlen Dir auch andere wichtige Patches.
Den WGA Eintrag vermisse ich auch, schreib mal was zu Deinem Patchstand.

@inFiniTY: Lass das Modem mal wo es ist, bestimmt ne Onboard Lösung.

Bata

Nein, ich lass das Modem nicht wo es ist

Zitat:

C:\WINDOWS\AGRSMMSG.exe

Gehört zum Treiber von einem AMR-Modem, aber wenn er keins hat?

Kenne mich nicht besonders gut aus. Gibt es einen Ort, an dem ich meinen Patchstand ermitteln kann, und wie kann ich ihn auf den benötigten Stand bringen? Dann würde ich diesen mal hier reinposten. Was bedeutet WGA?Kann man das essen :blinzeln: ?

Zum Thema Modem: Habe etwas von wegen Ager sytems ac´97 Modem
und Ali1535p_AMR.Modem bei der Systeminfo gefunden.


ps.:finde die Seite mit dem Patch immer sehr unübersichtlich und bin mir nicht ganz sicher ob ich da dann auf das richtige klicke...


Merci, keinschach

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

hast du ein AMR Modem?