Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Selbstständiges Öffnen vom Browser

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.01.2009, 16:01   #1
PhilPhil
 
Selbstständiges Öffnen vom Browser - Standard

Selbstständiges Öffnen vom Browser



Hallo ihr lieben Leute,

ich hab dieses Thema für meine Schwester eröffnet. Sie hat sich auf einer dubiosen Seite irgendeine Art Virus eingefangen und seit dem große Probleme mit ihrem Rechner:

Zum Einen ist ihr PC merklich langsamer geworden. Zum Anderen öffnen sich ständig Mozilla Firefox- und Internetexplorer Fenster von alleine. Dies ist momentan recht ungünstig, da meine Schwester in Bälde ihre Facharbeit anfertigen muss und ein langsamer Rechner hierbei doch recht hinderlich ist. Allerdings möchte Sie ihre Festplatte nur im Notfall formatieren. . .

Da sowohl meine Schwester, als auch ich recht wenig Ahnung von Viren und deren Entfernung haben, habe ich mich dazu entschieden hier um Rat zu fragen.

Ich habe auch HijackThis installiert und einen Logfile erstellt, welchen ihr im Folgenden findet.


Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:53:38, on 20.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\1XConfig.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.schuelervz.net/
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: {6a002ed8-ea5f-75e8-e1a4-ffc53a367df4} - {4fd763a3-5cff-4a1e-8e57-f5ae8de200a6} - C:\WINDOWS\system32\jrrfzm.dll
O2 - BHO: (no name) - {6F729AA8-116A-43B5-802A-92788344D66D} - C:\WINDOWS\system32\wvUnOIBr.dll
O2 - BHO: (no name) - {73259091-9574-4ED8-A40F-7F65AFC28634} - C:\WINDOWS\system32\ssqOFWnN.dll
O2 - BHO: (no name) - {8321191B-858A-4BD7-B378-9BE2AF07032D} - C:\WINDOWS\system32\ndobjapi.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NI.GSCNS] "C:\DOKUME~1\***\LOKALE~1\Temp\winvsnet.tmp"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - h**p://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?c4cf7a0b3c6c4234a93681469b3c6830
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?c4cf7a0b3c6c4234a93681469b3c6830
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: jrrfzm.dll
O20 - Winlogon Notify: ssqOFWnN - C:\WINDOWS\SYSTEM32\ssqOFWnN.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6699 bytes
         

Ich hoffe sehr, dass ihr meiner Schwester und mir mit dem Problemchen helfen könnt. Vielen Danke schonmal im Voraus

Gruß PhilPhil

Geändert von PhilPhil (20.01.2009 um 16:13 Uhr)

Alt 20.01.2009, 16:14   #2
Mr.Vain
 
Selbstständiges Öffnen vom Browser - Standard

Selbstständiges Öffnen vom Browser



--------------------------------------------------------------------------------------------------------------------------------------
Punkt 1
--------------------------------------------------------------------------------------------------------------------------------------
Deaktiviere die Systemwiederherstellung!, da es im Verlauf der Infektion sein kann dass der Virus, Malware, Trojaner etc. sich in den Wiederherstellungspunkte einnistet.
Deshalb sind sie nun unbrauchbar und würden beim zurücksetzen des PC's über einen der "infizierten" Wiederherstellungspunkte deinen Computer wieder infizieren.

--------------------------------------------------------------------------------------------------------------------------------------
Punkt 2
--------------------------------------------------------------------------------------------------------------------------------------
Bevor mit der Reinigung begonnen werden kann deinstalliere! bitte alle Toolbars für den Firefox und den Internet Explorer.
Spyware-Jäger wie Spybot S&D, Spyware Doctor, a-squared free Zone Alarm, eScan und Ad-Aware etc… kann man getrost deinstallieren!
Solltest du 2 oder mehrere Antiviren Software's installiert haben deinstalliere sie ! Viele behindern sich dadurch nur selbst.
Unser Tipp ! Avira Antivir
Falls du eine Software Firewall wie Zone Alarm oder Comodo Firewall installiert hast, bitte auch entfernen da die Windows eigene Firewall und die deines Routers reicht.
Meist haben Security Suites wie Kaspersky Internet Security eine Firewall on Board
--------------------------------------------------------------------------------------------------------------------------------------
Punkt 3
--------------------------------------------------------------------------------------------------------------------------------------
Fixe nun folgende Einträge mit HiJackThis!
Code:
ATTFilter
 R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: {6a002ed8-ea5f-75e8-e1a4-ffc53a367df4} - {4fd763a3-5cff-4a1e-8e57-f5ae8de200a6} - C:\WINDOWS\system32\jrrfzm.dll
O2 - BHO: (no name) - {6F729AA8-116A-43B5-802A-92788344D66D} - C:\WINDOWS\system32\wvUnOIBr.dll
O2 - BHO: (no name) - {73259091-9574-4ED8-A40F-7F65AFC28634} - C:\WINDOWS\system32\ssqOFWnN.dll
O2 - BHO: (no name) - {8321191B-858A-4BD7-B378-9BE2AF07032D} - C:\WINDOWS\system32\ndobjapi.dll
O4 - HKLM\..\Run: [NI.GSCNS] "C:\DOKUME~1\***\LOKALE~1\Temp\winvsnet.tmp"
O20 - AppInit_DLLs: jrrfzm.dll
O20 - Winlogon Notify: ssqOFWnN - C:\WINDOWS\SYSTEM32\ssqOFWnN.dll
         
& Lad folgende Daten bei virustotal.com hoch und lass sie auswerten
Code:
ATTFilter
 Keine!
         
--------------------------------------------------------------------------------------------------------------------------------------
Punkt 4
--------------------------------------------------------------------------------------------------------------------------------------

Führe einen Scan mit Deinem Antiviren-Scanner durch (Kaspersky - Avira - Panda etc.).
Bitte poste den Scanlog auch wenn kein Fund verzeichnet ist.

--------------------------------------------------------------------------------------------------------------------------------------
Punkt 5
--------------------------------------------------------------------------------------------------------------------------------------

Führe nun einen Scan mit Malwarebytes Anti-Malware und Blacklight durch.
Bitte poste auch den Scanlog wie in Punkt 4 !

--------------------------------------------------------------------------------------------------------------------------------------
Punkt 6
--------------------------------------------------------------------------------------------------------------------------------------

Solltest du Jeden! Punkt nacheinander durchgeführt haben.
Erstelle bitte einen neuen HiJackThis-Log und poste ihn auch wie in Punkt 4.

Anmerkung ! Ein besonderst gutes Ergebniss kann man erzielen wenn du das aktuellste Service Pack für den XP ( SP3) oder für Vista (SP1) installiert hast.
Wir empfehlen auch den Internet Explorer auf die Version (7) zu updaten!
Auch wenn du ihn nicht benutzt.!
__________________


Alt 20.01.2009, 16:20   #3
Haengdichweg
 
Selbstständiges Öffnen vom Browser - Standard

Selbstständiges Öffnen vom Browser



Moin,

lade folgende Dateien bei Virustotal.com hoch und las sie scannen:
Code:
ATTFilter
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\system32\jrrfzm.dll
C:\WINDOWS\system32\wvUnOIBr.dll
C:\WINDOWS\system32\ssqOFWnN.dll
C:\WINDOWS\system32\ndobjapi.dll
         
ok, ich war wohl zu langsam
__________________

Alt 20.01.2009, 16:51   #4
Eminemstyle
 
Selbstständiges Öffnen vom Browser - Standard

Selbstständiges Öffnen vom Browser



Mr. Vain du Nachmacher mit deiner Anleitung

aber das hier sollte auch noch gefixt werden:
Code:
ATTFilter
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
         
__________________
Die Ärzte - Deine Schuld

Es ist nicht deine Schuld, dass die Welt ist, wie sie ist
Es wär nur deine Schuld, wenn sie so bleibt
Weil jeder, der die Welt nicht ändern will
Ihr Todesurteil unterschreibt

Alt 20.01.2009, 17:52   #5
PhilPhil
 
Selbstständiges Öffnen vom Browser - Standard

Selbstständiges Öffnen vom Browser



Hallo ihr,

ersteinaml ein riesen dankeschön für eure schnellen Antworten, ihr seid echt super.

Bisher bin ich Mr. Vains Anleitung bis zu Punkt 5 gefolgt. Bei dem ersten Scan mit Malwarebytes' Anti-Maleware habe ich nach ca. 15 Minuten einen Bluescreen bekommen.

Aber hier erstmal der Antivir-Log:

Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 20. Januar 2009  17:53

Es wird nach 1512830 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 2)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     ***

Versionsinformationen:
BUILD.DAT     : 8.1.0.326      16933 Bytes  11.07.2008 12:52:00
AVSCAN.EXE    : 8.1.4.7       315649 Bytes  17.07.2008 17:16:23
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  17.07.2008 17:16:23
LUKE.DLL      : 8.1.4.5       164097 Bytes  17.07.2008 17:16:23
LUKERES.DLL   : 8.1.4.0        12545 Bytes  17.07.2008 17:16:23
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  18.07.2007 12:31:05
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  24.06.2008 15:00:36
ANTIVIR2.VDF  : 7.0.5.174    2027008 Bytes  25.07.2008 14:21:36
ANTIVIR3.VDF  : 7.0.5.176      40960 Bytes  26.07.2008 19:44:38
Engineversion : 8.1.1.12  
AEVDF.DLL     : 8.1.0.5       102772 Bytes  20.04.2008 10:36:48
AESCRIPT.DLL  : 8.1.0.59      307579 Bytes  19.07.2008 00:15:37
AESCN.DLL     : 8.1.0.23      119156 Bytes  16.07.2008 09:05:19
AERDL.DLL     : 8.1.0.20      418165 Bytes  25.04.2008 13:34:03
AEPACK.DLL    : 8.1.2.1       364917 Bytes  16.07.2008 09:05:19
AEOFFICE.DLL  : 8.1.0.21      192891 Bytes  19.07.2008 00:15:37
AEHEUR.DLL    : 8.1.0.44     1343863 Bytes  26.07.2008 14:21:46
AEHELP.DLL    : 8.1.0.15      115063 Bytes  29.05.2008 15:34:25
AEGEN.DLL     : 8.1.0.31      311669 Bytes  26.07.2008 14:21:39
AEEMU.DLL     : 8.1.0.6       430451 Bytes  07.05.2008 18:37:05
AECORE.DLL    : 8.1.1.7       172406 Bytes  26.07.2008 14:21:38
AEBB.DLL      : 8.1.0.1        53617 Bytes  17.07.2008 17:16:23
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  17.07.2008 17:16:23
AVPREF.DLL    : 8.0.2.0        38657 Bytes  17.07.2008 17:16:23
AVREP.DLL     : 8.0.0.2        98561 Bytes  26.07.2008 14:21:37
AVREG.DLL     : 8.0.0.1        33537 Bytes  17.07.2008 17:16:23
AVARKT.DLL    : 1.0.0.23      307457 Bytes  20.04.2008 10:36:47
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  17.07.2008 17:16:23
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  20.04.2008 10:36:48
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  17.07.2008 17:16:23
NETNT.DLL     : 8.0.0.1         7937 Bytes  20.04.2008 10:36:48
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  17.07.2008 17:16:20
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  17.07.2008 17:16:20

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Dienstag, 20. Januar 2009  17:53

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HijackThis.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QtZgAcer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PRONoMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess '1XConfig.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'anbmServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZCfgSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '37' Prozesse mit '37' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '51' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Dienstag, 20. Januar 2009  18:22
Benötigte Zeit: 29:37 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   4247 Verzeichnisse wurden überprüft
  97506 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
  97505 Dateien ohne Befall
   1387 Archive wurden durchsucht
      1 Warnungen
      0 Hinweise
         

Ich werde die Logs von den anderen Programmen auch so schnell wie möglich posten, aber bis dahin erstmal soweit.

Gruß Phil Phil


***EDIT***
Bei dem zweiten Systemscan mit Malwarebytes' Anti-Maleware habe ich nach 15-20 Minuten einen erneuten Bluescreen bekommen. Werde mich jetzt erstmal um Blacklight kümmern.


Geändert von PhilPhil (20.01.2009 um 18:31 Uhr)

Alt 20.01.2009, 19:42   #6
PhilPhil
 
Selbstständiges Öffnen vom Browser - Standard

Selbstständiges Öffnen vom Browser



Ok, da mein vorheriger Beitrag wohl zu alt ist und ich ihn daher nicht mehr editieren kann hier ein neuer:

Es folgt der Log von Blacklight
Code:
ATTFilter
01/20/09 20:30:55 [Info]: BlackLight Engine 1.0.67 initialized
01/20/09 20:30:55 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/20/09 20:30:56 [Note]: 7019 4
01/20/09 20:30:56 [Note]: 7005 0
01/20/09 20:31:04 [Note]: 7006 0
01/20/09 20:31:04 [Note]: 7011 1636
01/20/09 20:31:06 [Note]: FSRAW library version 1.7.1024
01/20/09 20:33:04 [Info]: Hidden file: c:\WINDOWS\system32\drivers\xsfwwgfx.sys
01/20/09 20:33:04 [Note]: 7002 0
01/20/09 20:33:04 [Note]: 7003 1
01/20/09 20:33:04 [Note]: 10002 1
01/20/09 20:33:27 [Note]: 2000 1012
01/20/09 20:35:15 [Note]: 7007 0
         
Gruß PhilPhil


***EDIT***

Ich habe jetzt alle Punkte abgearbeitet (ausser den Teil von Punkt 5, welcher mit Malwarebytes Anti-Malware durchzuführen war) und habe einen abschließenden Logfile mit HijackThis erstellt:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:28:48, on 20.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\1XConfig.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.schuelervz.net/
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0A9AF824-E164-415B-8248-1B8B6225B5F5} - C:\WINDOWS\system32\wvUnOIBr.dll
O2 - BHO: (no name) - {73259091-9574-4ED8-A40F-7F65AFC28634} - C:\WINDOWS\system32\ssqOFWnN.dll (file missing)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Windows &Live Favorites - h**p://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: ssqOFWnN - ssqOFWnN.dll (file missing)
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\system32\S24EvMon.exe

--
End of file - 4764 bytes
         
Bisher haben sich keinerlei Browserfenster geöffnet
ob die Kiste besser läuft kann ich zwar noch nicht beurteilen, aber das wird schon. Bis hier hin ein ganz dickes Dankeschön an euch alle.

Gruß PhilPhil

Geändert von PhilPhil (20.01.2009 um 20:36 Uhr)

Alt 21.01.2009, 11:07   #7
Haengdichweg
 
Selbstständiges Öffnen vom Browser - Standard

Selbstständiges Öffnen vom Browser



Installiere bitte:
Code:
ATTFilter
Internet Explorer 7
Service Pack 3 für Win XP
         

Antwort

Themen zu Selbstständiges Öffnen vom Browser
adobe, antivir, avira, bho, browse, browser, components, excel, explorer, festplatte, frage, hijack, hijackthis, hkus\s-1-5-18, internet explorer, langsamer rechner, launch, logfile, mozilla, notebook, plug-in, programme, software, system, tan, temp, viren, virus, virus eingefangen, wenig ahnung, windows, windows xp



Ähnliche Themen: Selbstständiges Öffnen vom Browser


  1. Browser Tabs öffnen sich von alleine in IE und FF
    Log-Analyse und Auswertung - 09.11.2015 (5)
  2. Überall Werbung im Browser und selbstständiges Öffnen von Tabs und Fenster
    Plagegeister aller Art und deren Bekämpfung - 20.02.2015 (28)
  3. Windows 8: Selbstständiges Öffnen von Tabs und Fenstern beim Surfen
    Log-Analyse und Auswertung - 27.01.2015 (9)
  4. Auf jeden Browser öffnen sich Popups.
    Log-Analyse und Auswertung - 16.01.2015 (7)
  5. Beim Browser öffnen komisches Fenster
    Alles rund um Windows - 12.08.2014 (15)
  6. Windows 8: Guter ping. Kann jedoch keine Webseite öffnen im Browser öffnen|Steamshop geht auch nicht
    Plagegeister aller Art und deren Bekämpfung - 26.05.2014 (20)
  7. Selbstständiges Öffnen von Webseiten & Certified-Toolbar-Search
    Plagegeister aller Art und deren Bekämpfung - 29.09.2013 (14)
  8. Selbstständiges Öffnen von Tabs in Mozilla Firefox und Internet Explorer
    Plagegeister aller Art und deren Bekämpfung - 20.04.2013 (21)
  9. Browser öffnen sich nicht
    Plagegeister aller Art und deren Bekämpfung - 20.02.2013 (15)
  10. Browser öffnen sich selbstständig mit Werbung
    Log-Analyse und Auswertung - 23.07.2011 (2)
  11. selbstständiges verschicken von emails
    Plagegeister aller Art und deren Bekämpfung - 27.09.2010 (26)
  12. Browser lassen sich nicht öffnen!
    Log-Analyse und Auswertung - 09.09.2010 (17)
  13. Von ICQ übertragener Trojaner - selbstständiges Verschicken von Links - MWB Log dabei
    Plagegeister aller Art und deren Bekämpfung - 18.04.2010 (3)
  14. browser öffnen keine google links!?
    Log-Analyse und Auswertung - 06.09.2009 (2)
  15. Beim öffnen von Browser Trojaner
    Plagegeister aller Art und deren Bekämpfung - 03.09.2009 (5)
  16. Browser öffnen sich
    Plagegeister aller Art und deren Bekämpfung - 11.09.2008 (5)
  17. laaaangsam / selbstständiges arbeiten
    Log-Analyse und Auswertung - 14.02.2007 (1)

Zum Thema Selbstständiges Öffnen vom Browser - Hallo ihr lieben Leute, ich hab dieses Thema für meine Schwester eröffnet. Sie hat sich auf einer dubiosen Seite irgendeine Art Virus eingefangen und seit dem große Probleme mit ihrem - Selbstständiges Öffnen vom Browser...
Archiv
Du betrachtest: Selbstständiges Öffnen vom Browser auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.