Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Internet Explorer Popups - obwohl IE egtl. nicht geöffnet

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.12.2009, 01:59   #1
ArcVieh
 
Internet Explorer Popups - obwohl IE egtl. nicht geöffnet - Standard

Internet Explorer Popups - obwohl IE egtl. nicht geöffnet



Guten Abend,
ich habe hier im Forum bereits ähnliche Probleme gefunden, allerdings waren sie mit meiner Problemstellung nicht "kompatibel".

Problem:
Vor einiger Zeit fanden zwei Trojaner den Weg auf mein System. Entfernt wurden diese von Kaspersky (30 Tage Test). Kaspersky habe ich wieder deinstalliert und Avira aufgespielt. Laut Avira ist mein System sauber (laut Kaspersky auch).

Spybot habe ich ebenfalls durchlaufen lassen. Keine Ergebnisse.
Den Internet Explorer verwende ich nicht. Mein Standardbrowser ist Opera.

Habe schon ein paar Dinge "Fix Checked", nach dem ich mich darüber Informiert hatte, wozu diese gut sind. Das waren unter anderem Toolbars für den IE.

Zitat:
O3 - Toolbar: FireShot - {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - C:\Users\NamelesS\AppData\Roaming\Mozilla\Firefox\Profiles\aaowkmfe.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\fsaddin-0.69.dll (file missing)
Den Eintrag hatte ich eigentlich auch gelöscht. Kommt aber immer wieder zu Stande. Allerdings habe ich FireShot in meinem Firefox installiert (den ich aber egtl nicht mehr nutze).

Mir ist sonst nur aufgefallen, das total viele iexplorer.exe gestartet sind. Diese stammen aber nicht von mir.

Hijackthis Log:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:49:54, on 06.12.2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\syntpenh.exe
C:\Program Files\Realtek\Audio\HDA\rthdvcpl.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Java\jre6\bin\jusched .exe
C:\Program Files\Realtek\Audio\HDA\rthdvcpl.exe
C:\Program Files\Synaptics\SynTP\syntpenh.exe
C:\Program Files\Realtek\Audio\HDA\rthdvcpl .exe
C:\Program Files\Synaptics\SynTP\syntpenh .exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Curse\CurseClient.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
C:\program files\adobe\acrotray.exe
C:\program files\adobe\acrotray.exe
C:\program files\adobe\acrotray .exe
C:\program files\adobe\acrotray .exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\NamelesS\Desktop\HiJackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: FireShot - {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - C:\Users\NamelesS\AppData\Roaming\Mozilla\Firefox\Profiles\aaowkmfe.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\fsaddin-0.69.dll (file missing)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'NETZWERKDIENST')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

--
End of file - 4530 bytes
         

Alt 06.12.2009, 03:35   #2
ArcVieh
 
Internet Explorer Popups - obwohl IE egtl. nicht geöffnet - Standard

Internet Explorer Popups - obwohl IE egtl. nicht geöffnet



Habe was festgestellt.. Es tauchen lauter bekannte .exe Dateien auf, mit einem "Leerzeichen" vor dem ".". Diese Dateien wurden zur Zeit erstellt als ich mich infiziert habe.

Solche Dateien tauchen ebenfalls auf: reader_sl.exe.delme137
__________________


Alt 06.12.2009, 05:00   #3
ArcVieh
 
Internet Explorer Popups - obwohl IE egtl. nicht geöffnet - Standard

Internet Explorer Popups - obwohl IE egtl. nicht geöffnet



Ich denke, ich bin ihn los.
Er hat nach meiner Beobachtung zu urteilen, folgendes gemacht: Nach dem Systemstart hat der Virus von einigen Anwendungen die .exe in "programm .exe" (man achte aufs Leerzeichen) unbenannt und eine gleichnamige "programm.exe" erstellt. Das hat er mit allen Programmen im Systemstart gemacht.
Acrotray, Adobe PDF Reader, Realtek WDM und jushed (Java). Wenn nicht alle entfernt sind, stellt es mit dem "Überbleibsel" die anderen wieder her usw.

Windows startet die "programm.exe" und die "programm.exe" startet die eigentliche (richtige) "programm .exe".

Wenn ich die .exe Dateien gelöscht habe, tauchten komische Dateien auf. Bsp.: jkiudiowaowi.ZOO usw. Nach dem killen der verdächtigen Prozesse trat das nicht mehr auf.

Bei mir hat im übrigen nur ein komplettes Entfernen der Programme was gebracht. Ansonsten sind die merkwürdigen " .exe" Dateien wieder aufgetaucht.

Ich installiere gerade die Programme wieder, aber zur Zeit habe ich Ruhe und seit dem Neustart hab ich im Process Explorer noch nichts merkwürdiges entdeckt.


Ach ja: Nach dem sich der Virus installiert hatte, tauchte im System Start "khalmnpr .exe" auf (msconfig). Diese lag in System32 Ordner wo sie nichts zu suchen hat. Dort lag auch eine "khalmnpr.exe". Beide Dateien hatten keine digitale Signatur von Logitech. Habe sie im Abgesicherten Modus entfernt. Die richtige "khalmnpr.exe" von Logitech mit digitaler Signatur liegt bei mir wo anders und vollrichtet Ihren Dienst.

Ich denke, die "khalmnpr .exe" war das Quell des Übels.
EDIT: Mir war auch aufgefallen, dass der Aufgabenplaner "taskeng.exe" immer versuchte "acrotray .exe" zu starten. In der Aufgabenverwaltung waren viele Einträge in verschiedenen Zeitabständen festgelegt, die die Verseuchte Datei ausführen sollten. Habe die Einträge manuell gelöscht.

Grüße,
ArcVieh - der endlich schlafe kann ...
__________________

Geändert von ArcVieh (06.12.2009 um 05:12 Uhr)

Antwort

Themen zu Internet Explorer Popups - obwohl IE egtl. nicht geöffnet
adobe, antivir, antivir guard, avg, avira, bho, curse, defender, desktop, explorer, firefox, helper, iexplorer.exe, internet, internet explorer, kaspersky, logfile, mozilla, popups, realtek, rundll, senden, software, toolbars, trojaner, vista, windows, zwei trojaner



Ähnliche Themen: Internet Explorer Popups - obwohl IE egtl. nicht geöffnet


  1. Stimmen im Hintergrund obwohl Internet explorer geschlossen
    Plagegeister aller Art und deren Bekämpfung - 09.03.2015 (10)
  2. Virus startet den Internet Explorer! (Obwohl Firefox als standard definiert ist)
    Log-Analyse und Auswertung - 05.06.2011 (4)
  3. TR/Dropper.GEN obwohl nicht geöffnet
    Mülltonne - 29.05.2011 (1)
  4. TR/Dropper.GEN gefunden obwohl nicht geöffnet
    Log-Analyse und Auswertung - 29.05.2011 (1)
  5. Internet Explorer spammt Werbung (obwohl er geschlossen ist)
    Log-Analyse und Auswertung - 27.03.2011 (33)
  6. Es läuft Musik obwohl kein Programm geöffnet ist und Internet explorer öffnet sich von selbst
    Log-Analyse und Auswertung - 16.02.2011 (21)
  7. Internet Explorer pop ups obwohl Firefox benutzt wird
    Log-Analyse und Auswertung - 11.02.2011 (4)
  8. Firefox im Taskmanager, obwohl nicht geöffnet!
    Log-Analyse und Auswertung - 16.12.2009 (40)
  9. Internet Explorer läuft im Hintergrung obwohl ich ihn garnicht geöffnet habe
    Log-Analyse und Auswertung - 14.12.2009 (1)
  10. Internet Explorer Popups trotz Firefox
    Log-Analyse und Auswertung - 12.10.2009 (3)
  11. Internet Explorer 2x geöffnet und lässt sich nicht schließen!
    Plagegeister aller Art und deren Bekämpfung - 12.09.2009 (13)
  12. Problem mit Popups (meist CiD:xxx) im Internet Explorer
    Log-Analyse und Auswertung - 24.05.2009 (13)
  13. IEXPLORE im TaskManager obwohl nicht geöffnet
    Plagegeister aller Art und deren Bekämpfung - 25.07.2008 (21)
  14. Nervige Popups vom Internet Explorer
    Log-Analyse und Auswertung - 13.11.2007 (1)
  15. Internet Explorer Popups
    Alles rund um Windows - 02.06.2007 (2)
  16. Popups aus dem nichts - Internet Explorer
    Log-Analyse und Auswertung - 12.10.2006 (3)
  17. Internet Explorer Popups
    Log-Analyse und Auswertung - 20.08.2006 (7)

Zum Thema Internet Explorer Popups - obwohl IE egtl. nicht geöffnet - Guten Abend, ich habe hier im Forum bereits ähnliche Probleme gefunden, allerdings waren sie mit meiner Problemstellung nicht "kompatibel". Problem: Vor einiger Zeit fanden zwei Trojaner den Weg auf mein - Internet Explorer Popups - obwohl IE egtl. nicht geöffnet...
Archiv
Du betrachtest: Internet Explorer Popups - obwohl IE egtl. nicht geöffnet auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.