Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf.

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 22.10.2009, 14:30   #1
Lettu
 
IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf. - Standard

IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf.



Hallo liebe Community,

nachdem mein AntiVir gestern Nacht die folgenden Meldungen verzeichnet hat (wurden in die Quarantäne verschoben), poppt der Internet Explorer regelmäßig mit dubiosen Seiten auf, welche zu 99% Werbung enthalten.

Die beiden Funde von AntiVir:

In der Datei 'C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DWSJTJQ\adframe2[2].php'
wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

UND

In der Datei 'C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DWSJTJQ\adframe2[2].php'
wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Anscheinend wurde das Problem nicht mit dem Verschieben in die Quarantäne behoben, daher habe ich HijackThis durchgeführt und hoffe ihr könnt mir bei meinem Problem helfen.
Zuvor habe ich einen kompletten AntiVir Scan durchgeführt sowie den CCleaner rüberlaufen lassen.

hijackthis Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:04:16, on 22.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\msa.exe
C:\DOKUME~1\****\LOKALE~1\Temp\b.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PopRock] C:\DOKUME~1\****\LOKALE~1\Temp\b.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1247943300671
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 4743 bytes

Alt 22.10.2009, 20:12   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf. - Standard

IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf.



Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________

__________________

Alt 22.10.2009, 20:18   #3
kira
/// Helfer-Team
 
IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf. - Standard

IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf.



Hallo und Herzlich Willkommen!

Leider hast Du mehr drauf, als nur das was dein Avira gefunden hat bzw Du uns gepostet hast
Zitat:
Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.
Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

- Aber bevor wir mit eine langweilige Säuberungs-Prozedur beginnen, versuche bitte folgendes:
Gibt es einen "relativ einfachen Weg",wenn eine frische Infektion vorliegt,oder mal bestimmte Probleme bekommt man auch gelöst, was man sogleich ausprobieren sollte:
Zitat:
Windows ME,XP u. Vista enthält ein Programm zur Systemwiederherstellung ( Damit lässt sich das System auf einen früheren Zeitpunkt zurücksetzen ,wo noch alles einwandfrei funktioniert. Die Systemwiederherstellung betrifft nur Systemeinstellungen.(programme die in der zwischenzeit installiert wurden gehen dabei verloren. man kann diesen vorgang auch wieder rückgängig machen, sollte man keinen erfolg damit erzielt haben.)
Du findest das Programm zur Systemwiederherstellung : Start/Programme/Zubehör/Systemprogramme/Systemwiederherstellung
Beim Ausführen der Systemwiederherstellung gehen keine persönlichen Dateien oder Kennwörter verloren. Dokumente, E-Mail-Nachrichten, Browserverlaufsdateien und die eingegebenen Kennwörter werden gespeichert, wenn Sie mithilfe der Systemwiederherstellung einen früheren Zustand wiederherstellen.
Die Systemwiederherstellung schützt Ihre persönlichen Dateien, indem Dateien im Ordner Eigene Dateien nicht wiederhergestellt werden. Darüber hinaus werden keine Dateien mit bekannten Dateinamenerweiterungen, wie DOC oder XLS, wiederhergestellt. Falls Sie nicht sicher sind, ob Ihre persönlichen Dateien bekannte Dateierweiterungen aufweisen, und Sie diese von der Systemwiederherstellung ausschließen möchten, speichern Sie sie im Ordner Eigene Dateien.
Falls ein Programm nach dem ausgewählten Wiederherstellungspunkt installiert wurde, kann das Programm im Rahmen der Wiederherstellung deinstalliert werden. Die mit diesem Programm erstellten Datendateien gehen nicht verloren. Um die Dateien wieder öffnen zu können, müssen Sie jedoch das entsprechende Programm erneut installieren.
Zitat:
Windows erstellt automatisch alle 24 Stunden automatisch einen Wiederherstellungspunkt -
Automatisch erstellte Wiederherstellungspunkte
- bei Treiberinstallationen auch
Wiederherstellungspunkte (RP) werden erstellt, damit Benutzer zu früheren Systemzuständen zurückkehren können. Jeder Wiederherstellungspunkt erfasst die erforderlichen Daten für eine Wiederherstellung eines bestimmten Systemzustands. Wiederherstellungspunkte werden vor größeren Änderungen im System erstellt. Da diese Punkte automatisch erstellt werden, müssen Benutzer sie nicht manuell erzeugen (sofern sie dies nicht bewusst möchten).
Setzt doch dein Windows über die Systemwiederherstellung ganz zurück (falls nötig kannst Du es im abgesicherten Modus [F8] auch ausführen:
(drücke beim Hochfahren des Rechners [F8] solange, bis du eine Auswahlmöglichkeit hast, da "abgesicherten Modus " wählen)

Auf jeden Fall positive als auch negative Rückmeldungen erwünscht

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Cf
__________________

Alt 23.10.2009, 02:41   #4
Lettu
 
IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf. - Standard

IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf.



Hallo nochmal,

danke euch beiden für eure Antworten. Den Schritt zur Neuinstallation möchte ich nur ungern gehen. Wenn mir allerdings nichts anderes übrig bleibt werde ich es natürlich tun.

Hier die Logfiles von Malwarebytes und RSIT:

http://www.file-upload.net/download-1963343/Logfiles-.rar.html

Beim CrapCleaner wusste ich nicht wie ich eine Log-Datei erstellen kann, hab ihn aber trotzdem erneut durchgeführt, wobei er länger als sonst brauchte, da eine ganze Menge von IE Dateien gemeldet wurden, welche ich dann entfernt habe.

Sollte eure Auswertung ergeben, dass keine Besserung eingetreten ist werde ich die Version mit dem Systemwiederherstellungspunkt ausprobieren.

Vielen Dank im vorraus.

Alt 23.10.2009, 15:03   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf. - Standard

IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf.



Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 23.10.2009, 15:56   #6
Lettu
 
IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf. - Standard

IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf.



Hier der LopSD Logfile:

Code:
ATTFilter
 --------------------\\  Lop S&D 4.2.5-0   XP/Vista

   Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Multiprocessor Free :               Intel(R) Pentium(R) 4 CPU 3.00GHz )
   BIOS : Default System BIOS
   USER : **** ( Administrator )
   BOOT : Normal boot
   Antivirus : AntiVir Desktop 9.0.1.32 (Activated)
   A:\ (USB)
   C:\ (Local Disk) - NTFS - Total:11 Go (Free:1 Go)
   D:\ (CD or DVD)
   E:\ (Local Disk) - NTFS - Total:137 Go (Free:94 Go)
   F:\ (CD or DVD)

   "C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
   Option : [1] ( 23.10.2009|15:50 )
 
   --------------------\\  Ordner Verzeichnis unter ANWEND~1

   [26.08.2009|14:28] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{55A29068-F2CE-456C-9148-C869879E2357}
   [19.07.2009|14:52] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
   [18.07.2009|23:07] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira
   [24.08.2009|21:57] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Blizzard
   [25.08.2009|03:07] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Blizzard Entertainment
   [20.07.2009|11:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\DAEMON Tools Lite
   [28.07.2009|16:17] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
   [20.07.2009|22:51] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Messenger Plus!
   [16.08.2009|14:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
   [19.07.2009|14:45] C:\DOKUME~1\ALLUSE~1\ANWEND~1\NOS
   [20.07.2009|14:40] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Trymedia
   [26.08.2009|14:28] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
   [18.07.2009|21:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
   [0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
   [15|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

   [18.07.2009|20:22] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
   [0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
   [3|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

   [23.07.2009|14:45] C:\DOKUME~1\****\ANWEND~1\Adobe
   [20.07.2009|11:04] C:\DOKUME~1\****\ANWEND~1\DAEMON Tools Lite
   [18.07.2009|20:44] C:\DOKUME~1\****\ANWEND~1\Help
   [11.09.2009|00:59] C:\DOKUME~1\****\ANWEND~1\HLSW
   [18.07.2009|20:32] C:\DOKUME~1\****\ANWEND~1\Identities
   [19.07.2009|14:06] C:\DOKUME~1\****\ANWEND~1\Macromedia
   [28.07.2009|16:18] C:\DOKUME~1\****\ANWEND~1\Malwarebytes
   [04.08.2009|00:39] C:\DOKUME~1\****\ANWEND~1\Microsoft
   [18.07.2009|22:54] C:\DOKUME~1\****\ANWEND~1\Mozilla
   [05.09.2009|13:04] C:\DOKUME~1\****\ANWEND~1\OpenOffice.org
   [19.07.2009|15:05] C:\DOKUME~1\****\ANWEND~1\Sun
   [20.10.2009|23:44] C:\DOKUME~1\****\ANWEND~1\teamspeak2
   [26.08.2009|14:29] C:\DOKUME~1\****\ANWEND~1\TuneUp Software
   [12.09.2009|23:11] C:\DOKUME~1\****\ANWEND~1\uTorrent
   [21.10.2009|23:34] C:\DOKUME~1\****\ANWEND~1\vlc
   [19.07.2009|21:42] C:\DOKUME~1\****\ANWEND~1\WinRAR
   [0|Datei(en)] C:\DOKUME~1\****\ANWEND~1\Bytes
   [18|Verzeichnis(se),] C:\DOKUME~1\****\ANWEND~1\Bytes frei

   [18.07.2009|20:22] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
   [0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
   [3|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

   [18.07.2009|20:22] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
   [0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
   [3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei
 
   --------------------\\  Geplante Aufgaben unter C:\WINDOWS\Tasks

   [23.10.2009 13:44][--ah-----] C:\WINDOWS\tasks\SA.DAT
   [28.02.2006 14:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

   --------------------\\  Ordner Verzeichnis unter C:\Programme

   [19.07.2009|14:51] C:\Programme\Adobe
   [30.07.2009|18:04] C:\Programme\ATI Technologies
   [18.07.2009|23:07] C:\Programme\Avira
   [19.07.2009|14:25] C:\Programme\CCleaner
   [18.07.2009|21:06] C:\Programme\C-Media 3D Audio
   [18.07.2009|20:18] C:\Programme\ComPlus Applications
   [19.07.2009|15:46] C:\Programme\Creative
   [31.07.2009|13:47] C:\Programme\DAEMON Tools Toolbar
   [14.08.2009|15:50] C:\Programme\directx
   [26.09.2009|18:44] C:\Programme\DivX
   [24.08.2009|16:50] C:\Programme\Gemeinsame Dateien
   [17.08.2009|19:45] C:\Programme\InstallShield Installation Information
   [14.10.2009|03:04] C:\Programme\Internet Explorer
   [05.08.2009|14:29] C:\Programme\Java
   [08.10.2009|20:35] C:\Programme\JRE
   [23.10.2009|01:54] C:\Programme\Malwarebytes' Anti-Malware
   [26.09.2009|18:44] C:\Programme\Messenger
   [19.07.2009|20:20] C:\Programme\Messenger Plus! Live
   [01.10.2009|23:32] C:\Programme\Microsoft
   [18.07.2009|20:22] C:\Programme\microsoft frontpage
   [18.07.2009|22:05] C:\Programme\Movie Maker
   [23.10.2009|15:19] C:\Programme\Mozilla Firefox
   [18.07.2009|20:16] C:\Programme\MSN
   [18.07.2009|20:17] C:\Programme\MSN Gaming Zone
   [18.07.2009|21:59] C:\Programme\NetMeeting
   [19.07.2009|14:45] C:\Programme\NOS
   [18.07.2009|20:17] C:\Programme\Online Services
   [18.07.2009|20:20] C:\Programme\Online-Dienste
   [08.10.2009|20:35] C:\Programme\OpenOffice.org 3
   [12.08.2009|16:53] C:\Programme\Outlook Express
   [26.09.2009|11:32] C:\Programme\TuneUp Utilities 2009
   [18.07.2009|20:32] C:\Programme\Uninstall Information
   [19.07.2009|14:04] C:\Programme\VIA
   [19.07.2009|20:16] C:\Programme\Windows Live
   [19.07.2009|20:15] C:\Programme\Windows Live SkyDrive
   [26.09.2009|18:44] C:\Programme\Windows Media Connect 2
   [22.07.2009|14:03] C:\Programme\Windows Media Player
   [18.07.2009|21:59] C:\Programme\Windows NT
   [18.07.2009|20:20] C:\Programme\WindowsUpdate
   [19.07.2009|14:25] C:\Programme\WinRAR
   [18.07.2009|20:22] C:\Programme\xerox
   [0|Datei(en)] C:\Programme\Bytes
   [43|Verzeichnis(se),] C:\Programme\Bytes frei

   --------------------\\  Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

   [19.07.2009|14:52] C:\Programme\Gemeinsame Dateien\Adobe
   [24.08.2009|16:50] C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
   [18.07.2009|20:19] C:\Programme\Gemeinsame Dateien\Dienste
   [19.07.2009|14:50] C:\Programme\Gemeinsame Dateien\DivX Shared
   [17.08.2009|19:50] C:\Programme\Gemeinsame Dateien\DVDVideoSoft
   [19.07.2009|14:03] C:\Programme\Gemeinsame Dateien\InstallShield
   [26.08.2009|18:23] C:\Programme\Gemeinsame Dateien\Microsoft Shared
   [18.07.2009|20:19] C:\Programme\Gemeinsame Dateien\MSSoap
   [18.07.2009|21:09] C:\Programme\Gemeinsame Dateien\ODBC
   [18.07.2009|21:09] C:\Programme\Gemeinsame Dateien\SpeechEngines
   [18.07.2009|21:59] C:\Programme\Gemeinsame Dateien\System
   [19.07.2009|20:12] C:\Programme\Gemeinsame Dateien\Windows Live
   [0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
   [14|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

   --------------------\\  Process

   ( 31 Processes )

   ... OK !

   --------------------\\  Ueberpruefung mit S_Lop

   Kein Lop Ordner gefunden !
 
   --------------------\\  Suche nach Lop Dateien - Ordnern

   Kein Lop Ordner gefunden ! 
 
   --------------------\\  Suche innerhalb der Registry
 
   ..... OK !

   --------------------\\  Ueberpruefung der Hosts Datei

   Hosts Datei SAUBER


   --------------------\\  Suche nach verborgenen Dateien mit Catchme
 
   catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
   Rootkit scan 2009-10-23 15:51:15
   Windows 5.1.2600 Service Pack 3 NTFS
   scanning hidden processes ...
   scanning hidden files ...
   scan completed successfully
   hidden processes: 0
   hidden files: 0
 
   --------------------\\  Suche nach anderen Infektionen


   Kein anderen Infektionen gefunden !

   [F:258][D:6]-> C:\DOKUME~1\Leon\LOKALE~1\Temp
   [F:1][D:0]-> C:\DOKUME~1\Leon\Cookies
   [F:6][D:4]-> C:\DOKUME~1\Leon\LOKALE~1\TEMPOR~1\content.IE5

   1 - "C:\Lop SD\LopR_1.txt" - 23.10.2009|15:52 - Option : [1]

   --------------------\\  Scan beendet um 15:52:03
         

Alt 23.10.2009, 18:17   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf. - Frage

IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf.



Code:
ATTFilter
S3 ab34wcrz;ab34wcrz; C:\WINDOWS\system32\drivers\ab34wcrz.sys []
         
Hattest Du mal die Daemon-Tools (für virtuelle CD/DVDROM Laufwerke) installiert gehabt? Die erzeugen nämlich solche kryptischen Dateinamen nach einem bestimmten Muster, die virtuellen Geräte bekommen dann als Gerätenamen den Namen dieser sys Datei.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 23.10.2009, 20:33   #8
Lettu
 
IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf. - Standard

IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf.



Ja, Daemon Tools hatte ich installiert. Habe ich aber ewig nicht benutzt und auch jetzt gerade deinstalliert.

Gibt es noch etwas das ich tun kann?

Alt 23.10.2009, 20:37   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf. - Standard

IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf.



Ach ja klar, da stehts da auch im lopr-Logfile

Code:
ATTFilter
[20.07.2009|11:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\DAEMON Tools Lite
         
Du könntest mal einen Durchlauf mit Combofix machen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 23.10.2009, 21:45   #10
Lettu
 
IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf. - Standard

IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf.



So habe die CCleaner Systembereinigung durchgeführt und daraufhin der Anleitung entsprechend das CombiFix Log erstellt.

Code:
ATTFilter
ComboFix 09-10-22.01 - Leon 23.10.2009 21:30.1.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1535.1089 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\desktop
c:\windows\desktop\Daten\mp3\vids\intro.mpeg

.
(((((((((((((((((((((((   Dateien erstellt von 2009-09-23 bis 2009-10-23  ))))))))))))))))))))))))))))))
.

2009-10-23 13:49 . 2009-10-23 13:52	--------	d-----w-	C:\Lop SD
2009-10-23 00:31 . 2009-10-23 00:34	--------	d-----w-	C:\rsit
2009-10-22 23:54 . 2009-09-10 12:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-22 23:54 . 2009-10-22 23:54	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-10-22 23:54 . 2009-09-10 12:53	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-10-08 18:35 . 2009-10-08 18:35	--------	d-----w-	c:\programme\JRE
2009-10-01 21:32 . 2009-10-01 21:32	--------	d-----w-	c:\programme\Microsoft
2009-09-27 21:18 . 2009-10-21 21:34	--------	d-----w-	c:\dokumente und einstellungen\****\Anwendungsdaten\vlc

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-23 16:01 . 2009-08-26 12:27	--------	d-----w-	c:\dokumente und einstellungen\****\Anwendungsdaten\teamspeak2
2009-10-08 20:58 . 2009-07-18 19:13	20328	----a-w-	c:\dokumente und einstellungen\****\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-10-08 18:35 . 2009-07-19 13:06	--------	d-----w-	c:\programme\OpenOffice.org 3
2009-09-26 16:44 . 2009-07-22 12:03	--------	d-----w-	c:\programme\Windows Media Connect 2
2009-09-26 16:44 . 2009-07-19 12:50	--------	d-----w-	c:\programme\DivX
2009-09-26 09:32 . 2009-08-26 12:28	--------	d-----w-	c:\programme\TuneUp Utilities 2009
2009-09-12 21:11 . 2009-07-19 22:47	--------	d-----w-	c:\dokumente und einstellungen\****\Anwendungsdaten\uTorrent
2009-09-11 14:17 . 2006-02-28 12:00	136192	----a-w-	c:\windows\system32\msv1_0.dll
2009-09-10 22:59 . 2009-08-26 16:22	--------	d-----w-	c:\dokumente und einstellungen\****\Anwendungsdaten\HLSW
2009-09-05 11:04 . 2009-09-05 11:04	--------	d-----w-	c:\dokumente und einstellungen\****\Anwendungsdaten\OpenOffice.org
2009-09-04 21:03 . 2006-02-28 12:00	58880	----a-w-	c:\windows\system32\msasn1.dll
2009-08-29 07:54 . 2006-02-28 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2009-08-26 12:29 . 2009-08-26 12:29	--------	d-----w-	c:\dokumente und einstellungen\****\Anwendungsdaten\TuneUp Software
2009-08-26 12:28 . 2009-08-26 12:28	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-08-26 12:28 . 2009-08-26 12:28	--------	d-sh--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-08-26 08:00 . 2006-02-28 12:00	247326	----a-w-	c:\windows\system32\strmdll.dll
2009-08-25 01:07 . 2009-08-25 00:28	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment
2009-08-24 19:57 . 2009-08-24 19:57	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard
2009-08-12 13:22 . 2009-07-18 21:07	55656	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-08-05 08:59 . 2006-02-28 12:00	206336	----a-w-	c:\windows\system32\mswebdvd.dll
2009-08-04 17:26 . 2006-02-28 12:00	2147840	----a-w-	c:\windows\system32\ntoskrnl.exe
2009-08-04 17:25 . 2004-08-04 00:50	2026496	----a-w-	c:\windows\system32\ntkrnlpa.exe
2009-07-30 16:07 . 2009-07-30 16:07	6820	----a-w-	c:\windows\system32\d3d9caps.dat
2009-07-30 16:02 . 2009-07-30 16:02	0	----a-w-	c:\windows\ativpsrm.bin
2009-07-26 14:44 . 2009-07-26 14:44	48448	----a-w-	c:\windows\system32\sirenacm.dll
2009-05-01 21:02 . 2009-05-01 21:02	1044480	----a-w-	c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02	200704	----a-w-	c:\programme\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-05-12 344064]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"RaidTool"="c:\programme\VIA\RAID\raid_tool.exe" [2005-06-20 1056768]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
" Malwarebytes Anti-Malware  (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"e:\\Programme\\uTorrent.exe"=
"e:\\Spiele\\WoW !!!!!!!!!!!!!!!!!!!!!!!!!\\WoW-3.2.0-deDE-downloader.exe"=
"e:\\Spiele\\WoW !!!!!!!!!!!!!!!!!!!!!!!!!\\Launcher.exe"=
"e:\\Spiele\\WoW !!!!!!!!!!!!!!!!!!!!!!!!!\\WoW-3.2.0.10192-to-3.2.0.10314-deDE-downloader.exe"=
"e:\\Programme\\Curse\\CurseClient.exe"=
"e:\\Spiele\\WoW !!!!!!!!!!!!!!!!!!!!!!!!!\\WoW-3.2.0.10314-to-3.2.2.10482-deDE-downloader.exe"=
"e:\\Spiele\\WoW !!!!!!!!!!!!!!!!!!!!!!!!!\\WoW-3.2.2.10482-to-3.2.2.10505-deDE-downloader.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.07.2009 23:07 108289]
S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\system32\drivers\ASPI32.SYS [26.07.2009 18:21 16512]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Save YouTube Video as MP3 - c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
FF - ProfilePath - c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\2xg5clut.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - prefs.js: keyword.URL - 

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-23 21:35
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  RaidTool = c:\programme\VIA\RAID\raid_tool.exe???? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(752)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-10-23 21:37
ComboFix-quarantined-files.txt  2009-10-23 19:37

Vor Suchlauf: 1.667.678.208 Bytes frei
Nach Suchlauf: 1.649.065.984 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - C577F3BD543A60CA39A544AE544545B0
         
Nachdem CombiFix fertig war, wurde der Internet Explorer zum Standardbrowser. Ist das normal? Habe einfach Mozilla als Standardbrowser zurückgesetzt.

Alt 25.10.2009, 12:46   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf. - Standard

IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf.



Dass ComboFix den Standardbrowser zurücksetzt, wäre mir neu, hat bisher auch keiner gemeldet

Wie ist es nun um Deinen PC bestellt? Tauchen noch Meldungen auf?

Code:
ATTFilter
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
         
Hast Du die Windows-Firewall abgestellt?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 25.10.2009, 17:09   #12
Lettu
 
IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf. - Standard

IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf.



Code:
ATTFilter
Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
         
Ich dachte damit sei auch die Windows Firewall eingeschlossen. Habe sie direkt danach wieder aktiviert und sie läuft auch sonst immer.

Nein, es sind keinerlei Meldungen mehr aufgetaucht und der IE ist auch seit dem Scan mit Malwarebytes nicht mehr aufgepoppt. Ich hoffe bzw. denke das sich das Thema damit erledigt hat

Sollte es doch noch zu Problemen kommen werde ich diesen Thread nochmal pushen.

Vielen Dank für deine kompetente Hilfe.

MfG

Alt 26.10.2009, 00:47   #13
Lettu
 
IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf. - Standard

IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf.



Hmm...anscheinend hat sich die Sache doch noch nicht erledigt.
Heute Abend wurden 2 weitere Fälle gefunden.Bedeutet das jetzt das es eine Backdoor in meinem System gibt oder sind das zwei neue Fälle (wobei ich seit den Scans mit Malwarebytes und co meinen Internetverkehr genau kontrolliert habe).

Funde von AntiVir:

In der Datei 'C:\System Volume Information\_restore{025FCA83-F438-465D-A958-843DCBED8F4F}\RP89\A0033240.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

--------------------------------------------------------------------------

In der Datei 'C:\System Volume Information\_restore{025FCA83-F438-465D-A958-843DCBED8F4F}\RP89\A0033239.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

EDIT: Habe vergessen das neue HijackThis Logfile anzuhängen.

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:56:51, on 26.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware  (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1247943300671
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 4395 bytes
         

Ausserdem ist mir bei diversen Durchführungen vom CCleaner aufgefallen das folgender Eintrag wieder auftaucht, selbst wenn ich den Scan
mehrmals hinternander durchführe und diesen Eintrag damit entferne.

Fehler: Ungenutzte Datei-Endungen
Daten: {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
Registry Schlüssel: HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Geändert von Lettu (26.10.2009 um 01:03 Uhr)

Antwort

Themen zu IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf.
antivir, antivir guard, avira, bho, content.ie5, desktop, einstellungen, firefox, hijack, hijackthis, hijackthis logfile, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, mp3, problem, programm, rundll, scan, software, system, virus, werbung, windows, windows xp



Ähnliche Themen: IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf.


  1. Avira Fund HTML infected.WebPage.Gen2
    Log-Analyse und Auswertung - 31.07.2015 (11)
  2. Avira Browser Schutz meldet Fund: HTML/Infected.WebPage.Gen2
    Plagegeister aller Art und deren Bekämpfung - 10.05.2015 (11)
  3. Logfile nach HTML/Infected.WebPage.Gen2
    Log-Analyse und Auswertung - 21.11.2012 (8)
  4. HTML/Infected.WebPage.Gen3 Fund auf langsamem Labtop/ESET hängt
    Plagegeister aller Art und deren Bekämpfung - 09.03.2012 (12)
  5. Nach HTML/Infected.WebPage.Gen2 - 14 Warnungen und 18 Versteckte Objekte bei AntiVir
    Plagegeister aller Art und deren Bekämpfung - 20.01.2012 (47)
  6. Avira Fund: HTML/Infected.WebPage.Gen, Virus, Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 15.02.2011 (6)
  7. TR/Kazy.12044.psa und HTML Scriptvirus HTML/Infected.WebPage.Gen
    Plagegeister aller Art und deren Bekämpfung - 14.02.2011 (1)
  8. Fund beim laden einer Seite "html infected.webpage.gen2"
    Antiviren-, Firewall- und andere Schutzprogramme - 09.02.2011 (8)
  9. HTML/Infected.WebPage.Gen
    Plagegeister aller Art und deren Bekämpfung - 19.01.2011 (1)
  10. Virenusbefall ? HTML/Rce.Gen und HTML/Infected.WebPage.Gen2
    Plagegeister aller Art und deren Bekämpfung - 22.09.2010 (4)
  11. HTML/Infected.WebPage.Gen
    Plagegeister aller Art und deren Bekämpfung - 09.07.2010 (1)
  12. html/infected.webpage.gen
    Plagegeister aller Art und deren Bekämpfung - 07.07.2010 (65)
  13. Firefox leitet Seiten um - Antivir meldet 'HTML/Infected.WebPage.Gen'
    Plagegeister aller Art und deren Bekämpfung - 26.11.2009 (44)
  14. TR/Rootkit.Gen & HTML/Infected.WebPage.Gen' & HEUR/HTML.Malware gefunden
    Log-Analyse und Auswertung - 25.06.2009 (31)
  15. HTML/Infected.WebPage.Gen ????
    Plagegeister aller Art und deren Bekämpfung - 07.07.2008 (6)
  16. HTML/Infected.WebPage.Gen
    Mülltonne - 28.05.2008 (0)
  17. hTML/Infected.WebPage.Gen
    Plagegeister aller Art und deren Bekämpfung - 15.04.2008 (10)

Zum Thema IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf. - Hallo liebe Community, nachdem mein AntiVir gestern Nacht die folgenden Meldungen verzeichnet hat (wurden in die Quarantäne verschoben), poppt der Internet Explorer regelmäßig mit dubiosen Seiten auf, welche zu 99% - IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf....
Archiv
Du betrachtest: IE v8.00 poppt nach Fund von HTML/Infected.WebPage.Gen mit dubiosen Seiten auf. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.