Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Statt Chrome oder Opera startet der IE

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 08.03.2011, 16:43   #1
coldfield
 
Statt Chrome oder Opera startet der IE - Standard

Statt Chrome oder Opera startet der IE



Hallo zusammen,

ich habe folgendes Problem und hab bisher im Netz leider noch keine weiterhelfende Erklärung hierzu gefunden:

Wenn ich opera oder chrome starte, öffnet sich der Internet Explorer 6. Hierbei ist es egal, ob ich die Browser über die Verknüpfung starte oder direkt die .exe im jeweiligen Ordner. Seltsam ist auch, dass der IE6 öffnet, wobei ich im Zuge der Problemfindung, diesen deinstalliert und den IE8 installiert habe. (Den IE habe ich nie verwendet, daher war/ist er noch in der 6er Version).

Viele die dieses Problem (z.B. hxxp://hannes-schurig.de/24/08/2009/statt-beliebiger-browser-startet-immer-der-ie-mit-seltsamen-pfad/) ebenfalls haben, berichten davon, dass der IE mit folgender Adresse öffnet: z.B. hxxp://%22c/Programme/Opera/opera.exe Das ist bei mir nicht der Fall.

Ebenfalls finde ich in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options keine Einträge zu opera.exe oder chrome.exe. Häufiger habe ich gelesen, dass der Schlüssel userinit.exe auf einen Schädling hinweisen kann - bei mir hat der Debugger den Wert "C:\WINDOWS\system32\winp.exe"

Standardbrowser ist eigentlich Firefox, dennoch sind lokale HTML-Dateien auf meinem Rechner nun Chrome zugeordnet.

Neu-Installation der beiden Browser führte zu nichts. Scan mit Antivir, MalwareBytes und Spybot waren erfolgreich, siehe Logs. Die eben angesprochene userinit.exe ist auch dabei, taucht bei jedem MalwareBytes-Scan aber wieder auf.

Zeitgleich kam auch das Problem auf, dass teilweise Videos nicht angezeigt werden. Auf manchen Seiten werden Videos normal angezeigt, auf Youtube dagegen ist die Video-Fläche schwarz und Werbung und Schaltflächen haben eine absolut reduzierte Auflösung. Ton wird widergegeben.

Hat jemand eine Idee wobei es sich hierbei handelt bzw. wie ich die Probleme beheben kann? Und woher sowas überhaupt stammen kann? Antivir ist immer auf dem neusten Stand, Browser und Flash ebenfalls, TeaTimer läuft.

Viele Grüße,
coldfield


Code:
ATTFilter
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5988

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

08.03.2011 13:00:17
mbam-log-2011-03-08 (13-00-17).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 155356
Laufzeit: 4 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and 

deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe (Security.Hijack) -> Quarantined 

and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 8. März 2011  12:58

Es wird nach 2471649 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : PC-01

Versionsinformationen:
BUILD.DAT      : 10.0.0.611     31824 Bytes  14.01.2011 13:28:00
AVSCAN.EXE     : 10.0.3.5      435368 Bytes  09.12.2010 10:10:52
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  20.09.2010 17:55:19
LUKE.DLL       : 10.0.3.2      104296 Bytes  09.12.2010 10:10:53
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 09:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 06:35:52
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 18:33:30
VBASE002.VDF   : 7.11.3.0     1950720 Bytes  09.02.2011 12:56:48
VBASE003.VDF   : 7.11.3.1        2048 Bytes  09.02.2011 12:56:48
VBASE004.VDF   : 7.11.3.2        2048 Bytes  09.02.2011 12:56:48
VBASE005.VDF   : 7.11.3.3        2048 Bytes  09.02.2011 12:56:48
VBASE006.VDF   : 7.11.3.4        2048 Bytes  09.02.2011 12:56:48
VBASE007.VDF   : 7.11.3.5        2048 Bytes  09.02.2011 12:56:48
VBASE008.VDF   : 7.11.3.6        2048 Bytes  09.02.2011 12:56:48
VBASE009.VDF   : 7.11.3.7        2048 Bytes  09.02.2011 12:56:50
VBASE010.VDF   : 7.11.3.8        2048 Bytes  09.02.2011 12:56:51
VBASE011.VDF   : 7.11.3.9        2048 Bytes  09.02.2011 12:56:52
VBASE012.VDF   : 7.11.3.10       2048 Bytes  09.02.2011 12:56:52
VBASE013.VDF   : 7.11.3.59     157184 Bytes  14.02.2011 07:51:12
VBASE014.VDF   : 7.11.3.97     120320 Bytes  16.02.2011 07:51:12
VBASE015.VDF   : 7.11.3.148    128000 Bytes  19.02.2011 07:51:12
VBASE016.VDF   : 7.11.3.183    140288 Bytes  22.02.2011 07:51:13
VBASE017.VDF   : 7.11.3.216    124416 Bytes  24.02.2011 07:45:49
VBASE018.VDF   : 7.11.3.251    159232 Bytes  28.02.2011 12:45:29
VBASE019.VDF   : 7.11.4.33     148992 Bytes  02.03.2011 12:45:30
VBASE020.VDF   : 7.11.4.73     150016 Bytes  06.03.2011 19:56:12
VBASE021.VDF   : 7.11.4.74       2048 Bytes  06.03.2011 19:56:13
VBASE022.VDF   : 7.11.4.75       2048 Bytes  06.03.2011 19:56:13
VBASE023.VDF   : 7.11.4.76       2048 Bytes  06.03.2011 19:56:13
VBASE024.VDF   : 7.11.4.77       2048 Bytes  06.03.2011 19:56:13
VBASE025.VDF   : 7.11.4.78       2048 Bytes  06.03.2011 19:56:13
VBASE026.VDF   : 7.11.4.79       2048 Bytes  06.03.2011 19:56:13
VBASE027.VDF   : 7.11.4.80       2048 Bytes  06.03.2011 19:56:13
VBASE028.VDF   : 7.11.4.81       2048 Bytes  06.03.2011 19:56:13
VBASE029.VDF   : 7.11.4.82       2048 Bytes  06.03.2011 19:56:13
VBASE030.VDF   : 7.11.4.83       2048 Bytes  06.03.2011 19:56:14
VBASE031.VDF   : 7.11.4.105    115200 Bytes  08.03.2011 09:22:29
Engineversion  : 8.2.4.180 
AEVDF.DLL      : 8.1.2.1       106868 Bytes  20.09.2010 17:55:19
AESCRIPT.DLL   : 8.1.3.56     1261945 Bytes  08.03.2011 09:22:32
AESCN.DLL      : 8.1.7.2       127349 Bytes  25.11.2010 16:07:29
AESBX.DLL      : 8.1.3.2       254324 Bytes  25.11.2010 16:07:30
AERDL.DLL      : 8.1.9.2       635252 Bytes  28.09.2010 21:14:11
AEPACK.DLL     : 8.2.4.11      520566 Bytes  04.03.2011 12:45:31
AEOFFICE.DLL   : 8.1.1.17      205177 Bytes  08.03.2011 09:22:32
AEHEUR.DLL     : 8.1.2.83     3338613 Bytes  08.03.2011 09:22:31
AEHELP.DLL     : 8.1.16.1      246134 Bytes  05.02.2011 15:03:11
AEGEN.DLL      : 8.1.5.2       397683 Bytes  28.01.2011 07:49:37
AEEMU.DLL      : 8.1.3.0       393589 Bytes  25.11.2010 16:07:25
AECORE.DLL     : 8.1.19.2      196983 Bytes  28.01.2011 07:49:37
AEBB.DLL       : 8.1.1.0        53618 Bytes  20.09.2010 17:55:18
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 09:59:10
AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 09:59:07
AVREP.DLL      : 10.0.0.8       62209 Bytes  18.02.2010 14:47:40
AVREG.DLL      : 10.0.3.2       53096 Bytes  08.11.2010 18:20:39
AVSCPLR.DLL    : 10.0.3.2       84328 Bytes  09.12.2010 10:10:52
AVARKT.DLL     : 10.0.22.6     231784 Bytes  09.12.2010 10:10:51
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 07:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 10:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 13:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 12:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 11:10:08
RCTEXT.DLL     : 10.0.58.0      98152 Bytes  08.11.2010 18:20:38

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir 

Desktop\TEMP\AVGUARD_4db10a72\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch

Beginn des Suchlaufs: Dienstag, 8. März 2011  12:58

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VM_STI.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\WINDOWS\Temp\hlpfhlp.exe'
C:\WINDOWS\Temp\hlpfhlp.exe
    [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/FooView.A
Beginne mit der Suche in 'C:\WINDOWS\Temp\srvcpack.exe'
C:\WINDOWS\Temp\srvcpack.exe
    [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/FooView.A
Beginne mit der Suche in 'C:\WINDOWS\Temp\srvvwuser.exe'
C:\WINDOWS\Temp\srvvwuser.exe
    [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/FooView.A
Beginne mit der Suche in 'C:\WINDOWS\Temp\videorsetup.exe'
C:\WINDOWS\Temp\videorsetup.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.bels
Beginne mit der Suche in 'C:\WINDOWS\Temp\windz.exe'
C:\WINDOWS\Temp\windz.exe
    [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/FooView.A

Beginne mit der Desinfektion:
C:\WINDOWS\Temp\windz.exe
    [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/FooView.A
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f9abf1f.qua' verschoben!
C:\WINDOWS\Temp\videorsetup.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.bels
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '573390b8.qua' verschoben!
C:\WINDOWS\Temp\srvvwuser.exe
    [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/FooView.A
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '055aca49.qua' verschoben!
C:\WINDOWS\Temp\srvcpack.exe
    [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/FooView.A
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '636d858b.qua' verschoben!
C:\WINDOWS\Temp\hlpfhlp.exe
    [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/FooView.A
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '26e3a8af.qua' verschoben!


Ende des Suchlaufs: Dienstag, 8. März 2011  13:03
Benötigte Zeit: 00:00 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
     37 Dateien wurden geprüft
      5 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      5 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
     32 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      5 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.
         
Code:
ATTFilter
Microsoft.WindowsSecurityCenter.AntiVirusOverride: [SBI $3604910C] Einstellungen (Registrierungsdatenbank-Änderung, fixed)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride

Microsoft.WindowsSecurityCenter.FirewallOverride: [SBI $0C94D702] Einstellungen (Registrierungsdatenbank-Änderung, fixed)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride

FastClick: Verfolgender Cookie (Internet Explorer: User) (Cookie, fixed)
  

Right Media: Verfolgender Cookie (Internet Explorer: User) (Cookie, fixed)
  

DoubleClick: Verfolgender Cookie (Internet Explorer: User) (Cookie, fixed)
  


--- Spybot - Search & Destroy version: 1.6.2  (build: 20090126) ---

2009-01-26 blindman.exe (1.0.0.8)
2009-01-26 SDFiles.exe (1.6.1.7)
2009-01-26 SDMain.exe (1.0.0.6)
2009-01-26 SDShred.exe (1.0.2.5)
2009-01-26 SDUpdate.exe (1.6.0.12)
2009-01-26 SpybotSD.exe (1.6.2.46)
2009-03-05 TeaTimer.exe (1.6.6.32)
2010-01-20 unins000.exe (51.49.0.0)
2009-01-26 Update.exe (1.6.0.7)
2009-11-04 advcheck.dll (1.6.5.20)
2007-04-02 aports.dll (2.1.0.0)
2008-06-14 DelZip179.dll (1.79.11.1)
2009-01-26 SDHelper.dll (1.6.2.14)
2008-06-19 sqlite3.dll
2009-01-26 Tools.dll (2.1.6.10)
2009-01-16 UninsSrv.dll (1.0.0.0)
2009-10-08 Includes\Adware.sbi (*)
2010-01-19 Includes\AdwareC.sbi (*)
2009-01-22 Includes\Cookies.sbi (*)
2009-11-03 Includes\Dialer.sbi (*)
2010-01-19 Includes\DialerC.sbi (*)
2009-01-22 Includes\HeavyDuty.sbi (*)
2009-05-26 Includes\Hijackers.sbi (*)
2010-01-19 Includes\HijackersC.sbi (*)
2010-01-20 Includes\Keyloggers.sbi (*)
2010-01-19 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2010-01-19 Includes\Malware.sbi (*)
2010-01-19 Includes\MalwareC.sbi (*)
2009-03-25 Includes\PUPS.sbi (*)
2010-01-19 Includes\PUPSC.sbi (*)
2009-01-22 Includes\Revision.sbi (*)
2009-01-13 Includes\Security.sbi (*)
2010-01-19 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2009-11-03 Includes\Spyware.sbi (*)
2010-01-19 Includes\SpywareC.sbi (*)
2009-06-08 Includes\Tracks.uti
2009-12-08 Includes\Trojans.sbi (*)
2010-01-19 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll
         

Alt 08.03.2011, 16:46   #2
markusg
/// Malware-holic
 
Statt Chrome oder Opera startet der IE - Standard

Statt Chrome oder Opera startet der IE



Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten
__________________

__________________

Alt 08.03.2011, 17:31   #3
coldfield
 
Statt Chrome oder Opera startet der IE - Standard

Statt Chrome oder Opera startet der IE



Hallo markusg,

danke für Deine Antwort. Anbei die beiden Logs. Sie direkt mit diesem Formular abzuschicken hat immer zum Absturz von Firefox geführt (der bisher eigentlich einwandfrei lief), daher als Anhang.

Viele Grüße,
coldfield
__________________

Alt 08.03.2011, 17:48   #4
markusg
/// Malware-holic
 
Statt Chrome oder Opera startet der IE - Standard

Statt Chrome oder Opera startet der IE



deinstaliere mal spybot es stört die reinigung, neustarten bitte.

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 08.03.2011, 19:43   #5
coldfield
 
Statt Chrome oder Opera startet der IE - Standard

Statt Chrome oder Opera startet der IE



Spybot deinstalliert und Log erstellt:

Code:
ATTFilter
Combofix Logfile:
Combofix Logfile:
Code:
ATTFilter
ComboFix 11-03-07.07 - User 08.03.2011  19:24:17.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2015.1652 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programme\Quicktime\QTTask.exe
c:\windows\system32\winp.exe
.
c:\windows\regedit.exe . . . ist infiziert!!
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-02-08 bis 2011-03-08  ))))))))))))))))))))))))))))))
.
.
2011-03-02 19:38 . 2011-03-02 19:38	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2011-03-02 18:08 . 2011-03-02 18:08	--------	d-sh--w-	c:\dokumente und einstellungen\Administrator\PrivacIE
2011-03-02 18:05 . 2011-03-02 18:05	--------	d-sh--w-	c:\dokumente und einstellungen\Administrator\IETldCache
2011-03-02 07:22 . 2011-03-02 07:22	--------	d-sh--w-	c:\dokumente und einstellungen\User\PrivacIE
2011-03-02 07:22 . 2011-03-02 07:22	--------	d-sh--w-	c:\windows\system32\config\systemprofile\IETldCache
2011-03-02 07:21 . 2011-03-02 07:21	--------	d-sh--w-	c:\dokumente und einstellungen\User\IETldCache
2011-03-02 07:19 . 2011-03-02 21:24	--------	d-----w-	c:\windows\ie8updates
2011-03-02 07:17 . 2010-12-20 22:14	81920	----a-w-	c:\windows\system32\ieencode.dll
2011-03-02 07:17 . 2010-12-20 22:14	81920	----a-w-	c:\windows\system32\dllcache\ieencode.dll
2011-03-02 07:14 . 2010-10-18 11:10	7680	-c----w-	c:\windows\system32\dllcache\iecompat.dll
2011-03-02 07:14 . 2010-12-20 23:52	602112	-c----w-	c:\windows\system32\dllcache\msfeeds.dll
2011-03-02 07:14 . 2010-12-20 23:52	55296	-c----w-	c:\windows\system32\dllcache\msfeedsbs.dll
2011-03-02 07:14 . 2010-12-20 23:52	12800	-c----w-	c:\windows\system32\dllcache\xpshims.dll
2011-03-02 07:14 . 2010-12-20 23:52	1991680	-c----w-	c:\windows\system32\dllcache\iertutil.dll
2011-03-02 07:14 . 2010-12-20 23:52	743424	-c----w-	c:\windows\system32\dllcache\iedvtool.dll
2011-03-02 07:14 . 2010-12-20 23:52	247808	-c----w-	c:\windows\system32\dllcache\ieproxy.dll
2011-03-02 07:14 . 2010-12-21 04:22	11080704	-c----w-	c:\windows\system32\dllcache\ieframe.dll
2011-03-01 23:03 . 2011-03-01 23:03	--------	d-----w-	c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Google
2011-03-01 22:46 . 2011-03-02 21:31	--------	d-----w-	c:\programme\Opera
2011-02-17 10:28 . 2011-02-17 10:28	--------	d-----w-	C:\data
2011-02-16 22:01 . 2011-02-16 22:01	--------	d-----w-	c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Temp
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-21 14:44 . 2008-04-14 12:00	440832	----a-w-	c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2008-04-14 12:00	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-12-31 14:03 . 2008-04-14 12:00	1855104	----a-w-	c:\windows\system32\win32k.sys
2010-12-25 18:33 . 2010-01-06 14:08	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-12-22 12:34 . 2008-04-14 12:00	301568	----a-w-	c:\windows\system32\kerberos.dll
2010-12-20 22:14 . 2008-04-14 12:00	672768	----a-w-	c:\windows\system32\wininet.dll
2010-12-20 22:14 . 2008-04-14 12:00	61952	----a-w-	c:\windows\system32\tdc.ocx
2010-12-20 22:13 . 2008-04-14 12:00	371200	----a-w-	c:\windows\system32\html.iec
2010-12-20 17:25 . 2008-04-14 12:00	737792	----a-w-	c:\windows\system32\lsasrv.dll
2010-12-20 17:09 . 2010-01-21 13:28	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-01-21 13:28	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-09 15:15 . 2008-04-14 12:00	743936	----a-w-	c:\windows\system32\ntdll.dll
2010-12-09 15:13 . 2008-04-14 12:00	2195072	----a-w-	c:\windows\system32\ntoskrnl.exe
2010-12-09 15:13 . 2008-04-14 07:30	2071680	----a-w-	c:\windows\system32\ntkrnlpa.exe
2010-12-09 14:29 . 2008-04-14 12:00	33280	----a-w-	c:\windows\system32\csrsrv.dll
2006-05-03 09:06	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 10:47	31232	--sh--r-	c:\windows\system32\msfDX.dll
2008-03-16 12:30	216064	--sh--r-	c:\windows\system32\nbDX.dll
.
.
------- Sigcheck -------
.
[-] 2008-04-14 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\system32\drivers\atapi.sys
.
[-] 2008-04-14 . B153AFFAC761E7F5FCFA822B9C4E97BC . 14336 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\asyncmac.sys
[-] 2008-04-14 . B153AFFAC761E7F5FCFA822B9C4E97BC . 14336 . . [5.1.2600.5512] . . c:\windows\system32\drivers\asyncmac.sys
.
[-] 2008-04-14 . DA1F27D85E0D1525F6621372E7B685E9 . 4224 . . [5.1.2600.0] . . c:\windows\system32\dllcache\beep.sys
[-] 2008-04-14 . DA1F27D85E0D1525F6621372E7B685E9 . 4224 . . [5.1.2600.0] . . c:\windows\system32\drivers\beep.sys
.
[-] 2008-04-14 . 1704D8C4C8807B889E43C649B478A452 . 25216 . . [5.1.2600.5512] . . c:\windows\system32\drivers\kbdclass.sys
.
[-] 2008-04-14 . 1DF7F42665C94B825322FAE71721130D . 182656 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\ndis.sys
[-] 2008-04-14 . 1DF7F42665C94B825322FAE71721130D . 182656 . . [5.1.2600.5512] . . c:\windows\system32\drivers\ndis.sys
.
[-] 2008-04-14 . 78A08DD6A8D65E697C18E1DB01C5CDCA . 574976 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\ntfs.sys
[-] 2008-04-14 . 78A08DD6A8D65E697C18E1DB01C5CDCA . 574976 . . [5.1.2600.5512] . . c:\windows\system32\drivers\ntfs.sys
.
[-] 2008-04-14 . 73C1E1F395918BC2C6DD67AF7591A3AD . 2944 . . [5.1.2600.0] . . c:\windows\system32\dllcache\null.sys
[-] 2008-04-14 . 73C1E1F395918BC2C6DD67AF7591A3AD . 2944 . . [5.1.2600.0] . . c:\windows\system32\drivers\null.sys
.
[-] 2008-04-14 . B42057F06BBB98B31876C0B3F2B54E33 . 77824 . . [5.1.2600.5512] . . c:\windows\system32\browser.dll
[-] 2008-04-14 . B42057F06BBB98B31876C0B3F2B54E33 . 77824 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\browser.dll
.
[-] 2008-04-14 . AFB8261B56CBA0D86AEB6DF682AF9785 . 13312 . . [5.1.2600.5512] . . c:\windows\system32\lsass.exe
[-] 2008-04-14 . AFB8261B56CBA0D86AEB6DF682AF9785 . 13312 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\lsass.exe
.
[-] 2008-04-14 . E6D88F1F6745BF00B57E7855A2AB696C . 198144 . . [5.1.2600.5512] . . c:\windows\system32\netman.dll
[-] 2008-04-14 . E6D88F1F6745BF00B57E7855A2AB696C . 198144 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\netman.dll
.
[-] 2008-04-14 12:00 . D0DE8A2EC95184E5193BB4B3112E29DF . 846848 . . [2001.12.4414.700] . . c:\windows\system32\comres.dll
[-] 2008-04-14 12:00 . D0DE8A2EC95184E5193BB4B3112E29DF . 846848 . . [2001.12.4414.700] . . c:\windows\system32\dllcache\comres.dll
.
[-] 2008-04-14 . D6F603772A789BB3228F310D650B8BD1 . 409088 . . [6.7.2600.5512] . . c:\windows\system32\qmgr.dll
[-] 2008-04-14 . D6F603772A789BB3228F310D650B8BD1 . 409088 . . [6.7.2600.5512] . . c:\windows\system32\dllcache\qmgr.dll
.
[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\winlogon.exe
.
[-] 2008-04-14 . 611F824E5C703A5A899F84C5F1699E4D . 62464 . . [5.1.2600.5512] . . c:\windows\system32\cryptsvc.dll
[-] 2008-04-14 . 611F824E5C703A5A899F84C5F1699E4D . 62464 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\cryptsvc.dll
.
[-] 2008-04-14 . F9954695D246B33A5BF105029A4C6AB6 . 110080 . . [5.1.2600.5512] . . c:\windows\system32\imm32.dll
[-] 2008-04-14 . F9954695D246B33A5BF105029A4C6AB6 . 110080 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\imm32.dll
.
[-] 2008-04-14 . 5543A9D4A1D0F9F84092482A9373A024 . 19968 . . [5.1.2600.5512] . . c:\windows\system32\linkinfo.dll
[-] 2008-04-14 . 5543A9D4A1D0F9F84092482A9373A024 . 19968 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\linkinfo.dll
.
[-] 2008-04-14 . F38F3C47BBFFD748C1359AB171C3A630 . 22016 . . [5.1.2600.5512] . . c:\windows\system32\lpk.dll
[-] 2008-04-14 . F38F3C47BBFFD748C1359AB171C3A630 . 22016 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\lpk.dll
.
[-] 2008-04-14 . C6A6E53A0C34EC87883137A6CB87AE5E . 343040 . . [7.0.2600.5512] . . c:\windows\system32\msvcrt.dll
[-] 2008-04-14 . C6A6E53A0C34EC87883137A6CB87AE5E . 343040 . . [7.0.2600.5512] . . c:\windows\system32\dllcache\msvcrt.dll
[-] 2008-04-14 . 4200BE3808F6406DBE45A7B88DAE5035 . 322560 . . [7.0.2600.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.0.0_x-ww_2726e76a\msvcrt.dll
[-] 2008-04-14 . C536AAD8A71608FE33CD956214EDD366 . 343040 . . [7.0.2600.5512] . . c:\windows\WinSxS\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.2600.5512_x-ww_3fd60d63\msvcrt.dll
.
[-] 2008-04-14 . 0098D35F91DEAB9C127360A877F2CF84 . 407040 . . [5.1.2600.5512] . . c:\windows\system32\netlogon.dll
[-] 2008-04-14 . 0098D35F91DEAB9C127360A877F2CF84 . 407040 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\netlogon.dll
.
[-] 2008-04-14 . C8C0BDABC966B6C24D337DF0A0A399E1 . 17408 . . [6.00.2900.5512] . . c:\windows\system32\powrprof.dll
[-] 2008-04-14 . C8C0BDABC966B6C24D337DF0A0A399E1 . 17408 . . [6.00.2900.5512] . . c:\windows\system32\dllcache\powrprof.dll
.
[-] 2008-04-14 . 5132443DF6FC3771A17AB4AE55DCBC28 . 187904 . . [5.1.2600.5512] . . c:\windows\system32\scecli.dll
[-] 2008-04-14 . 5132443DF6FC3771A17AB4AE55DCBC28 . 187904 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\scecli.dll
.
[-] 2008-04-14 . 44161A59DC33AC2EA9C95438ADFFFB7F . 5120 . . [5.1.2600.5512] . . c:\windows\system32\sfc.dll
[-] 2008-04-14 . 44161A59DC33AC2EA9C95438ADFFFB7F . 5120 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\sfc.dll
.
[-] 2008-04-14 . 4FBC75B74479C7A6F829E0CA19DF3366 . 14336 . . [5.1.2600.5512] . . c:\windows\system32\svchost.exe
[-] 2008-04-14 . 4FBC75B74479C7A6F829E0CA19DF3366 . 14336 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\svchost.exe
.
[-] 2008-04-14 . 05903CAC4B98908D55EA5774775B382E . 249856 . . [5.1.2600.5512] . . c:\windows\system32\tapisrv.dll
[-] 2008-04-14 . 05903CAC4B98908D55EA5774775B382E . 249856 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\tapisrv.dll
.
[-] 2008-04-14 . B0050CC5340E3A0760DD8B417FF7AEBD . 580096 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll
[-] 2008-04-14 . B0050CC5340E3A0760DD8B417FF7AEBD . 580096 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\user32.dll
.
[-] 2008-04-14 . 788F95312E26389D596C0FA55834E106 . 26624 . . [5.1.2600.5512] . . c:\windows\system32\userinit.exe
[-] 2008-04-14 . 788F95312E26389D596C0FA55834E106 . 26624 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\userinit.exe
.
[-] 2008-04-14 . 6A35E2D6F5F052C84EC2CEB296389439 . 82432 . . [5.1.2600.5512] . . c:\windows\system32\ws2_32.dll
[-] 2008-04-14 . 6A35E2D6F5F052C84EC2CEB296389439 . 82432 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\ws2_32.dll
.
[-] 2008-04-14 . C7D8A0517CBF16B84F657DE87EBE9D4B . 19968 . . [5.1.2600.5512] . . c:\windows\system32\ws2help.dll
[-] 2008-04-14 . C7D8A0517CBF16B84F657DE87EBE9D4B . 19968 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\ws2help.dll
.
[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\system32\dllcache\explorer.exe
.
[-] 2008-04-14 . FE77A85495065F3AD59C5C65B6C54182 . 171520 . . [5.1.2600.5512] . . c:\windows\system32\srsvc.dll
[-] 2008-04-14 . FE77A85495065F3AD59C5C65B6C54182 . 171520 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\srsvc.dll
.
[-] 2008-04-14 . EDAFBE25FB6480CE68F688BA691890DC . 13824 . . [5.1.2600.5512] . . c:\windows\system32\wscntfy.exe
[-] 2008-04-14 . EDAFBE25FB6480CE68F688BA691890DC . 13824 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\wscntfy.exe
.
[-] 2008-04-14 . 0ADA34871A2E1CD2CAAFED1237A47750 . 129024 . . [5.1.2600.5512] . . c:\windows\system32\xmlprov.dll
[-] 2008-04-14 . 0ADA34871A2E1CD2CAAFED1237A47750 . 129024 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\xmlprov.dll
.
[-] 2008-04-14 . 04955AA695448C181B367D964AF158AA . 56320 . . [5.1.2600.5512] . . c:\windows\system32\eventlog.dll
[-] 2008-04-14 . 04955AA695448C181B367D964AF158AA . 56320 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\eventlog.dll
.
[-] 2008-04-14 . 5251425B86EA4A3532B8BB8D14044E61 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
[-] 2008-04-14 . 5251425B86EA4A3532B8BB8D14044E61 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\sfcfiles.dll
.
[-] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe
[-] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\ctfmon.exe
.
[-] 2008-04-14 . 40602EBFBE06AA075C8E4560743F6883 . 135168 . . [6.00.2900.5512] . . c:\windows\system32\shsvcs.dll
[-] 2008-04-14 . 40602EBFBE06AA075C8E4560743F6883 . 135168 . . [6.00.2900.5512] . . c:\windows\system32\dllcache\shsvcs.dll
.
[-] 2008-04-14 . E4CD1F3D84E1C2CA0B8CF7501E201593 . 59904 . . [5.1.2600.5512] . . c:\windows\system32\regsvc.dll
[-] 2008-04-14 . E4CD1F3D84E1C2CA0B8CF7501E201593 . 59904 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\regsvc.dll
.
[-] 2008-04-14 . A050194A44D7FA8D7186ED2F4E8367AE . 193536 . . [5.1.2600.5512] . . c:\windows\system32\schedsvc.dll
[-] 2008-04-14 . A050194A44D7FA8D7186ED2F4E8367AE . 193536 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\schedsvc.dll
.
[-] 2008-04-14 . 4DF5B05DFAEC29E13E1ED6F6EE12C500 . 71680 . . [5.1.2600.5512] . . c:\windows\system32\ssdpsrv.dll
[-] 2008-04-14 . 4DF5B05DFAEC29E13E1ED6F6EE12C500 . 71680 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\ssdpsrv.dll
.
[-] 2008-04-14 . B7DE02C863D8F5A005A7BF375375A6A4 . 297472 . . [5.1.2600.5512] . . c:\windows\system32\termsrv.dll
[-] 2008-04-14 . B7DE02C863D8F5A005A7BF375375A6A4 . 297472 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\termsrv.dll
.
[-] 2008-04-14 . 0DAF0705D7B39C94E287913226688804 . 348672 . . [5.1.2600.5512] . . c:\windows\system32\hnetcfg.dll
[-] 2008-04-14 . 0DAF0705D7B39C94E287913226688804 . 348672 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\hnetcfg.dll
.
[-] 2008-04-14 . 9E1CA3160DAFB159CA14F83B1E317F75 . 12160 . . [5.1.2600.0] . . c:\windows\system32\drivers\acpiec.sys
.
[-] 2008-04-13 21:09 . 8BED39E3C35D6A489438B8141717A557 . 142592 . . [5.1.2601.3142] . . c:\windows\system32\drivers\aec.sys
.
[-] 2008-04-14 . 3BB22519A194418D5FEC05D800A19AD0 . 36608 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\ip6fw.sys
[-] 2008-04-14 . 3BB22519A194418D5FEC05D800A19AD0 . 36608 . . [5.1.2600.5512] . . c:\windows\system32\drivers\ip6fw.sys
.
[-] 2008-04-14 . B7550A7107281D170CE85524B1488C98 . 33792 . . [5.1.2600.5512] . . c:\windows\system32\msgsvc.dll
[-] 2008-04-14 . B7550A7107281D170CE85524B1488C98 . 33792 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\msgsvc.dll
.
[-] 2008-04-14 12:00 . 56AF4064996FA5BAC9C449B1514B4770 . 438272 . . [5.1.2400.5512] . . c:\windows\system32\ntmssvc.dll
[-] 2008-04-14 12:00 . 56AF4064996FA5BAC9C449B1514B4770 . 438272 . . [5.1.2400.5512] . . c:\windows\system32\dllcache\ntmssvc.dll
.
[-] 2008-04-14 . 1DFD8975D8C89214B98D9387C1125B49 . 186880 . . [5.1.2600.5512] . . c:\windows\system32\upnphost.dll
[-] 2008-04-14 . 1DFD8975D8C89214B98D9387C1125B49 . 186880 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\upnphost.dll
.
[-] 2008-04-14 . 9236E736EDB57BE7D1EF6274410E3BAC . 367616 . . [5.3.2600.5512] . . c:\windows\system32\dsound.dll
[-] 2008-04-14 . 9236E736EDB57BE7D1EF6274410E3BAC . 367616 . . [5.3.2600.5512] . . c:\windows\system32\dllcache\dsound.dll
.
[-] 2008-04-14 . 36969CF86E51EC8ED202B40F2FA80AA6 . 1689088 . . [5.03.2600.5512] . . c:\windows\system32\d3d9.dll
[-] 2008-04-14 . 36969CF86E51EC8ED202B40F2FA80AA6 . 1689088 . . [5.03.2600.5512] . . c:\windows\system32\dllcache\d3d9.dll
.
[-] 2008-04-14 . 4A37188B83B00DD9CFBA049687AD0DAF . 279552 . . [5.03.2600.5512] . . c:\windows\system32\ddraw.dll
[-] 2008-04-14 . 4A37188B83B00DD9CFBA049687AD0DAF . 279552 . . [5.03.2600.5512] . . c:\windows\system32\dllcache\ddraw.dll
.
[-] 2008-04-14 12:00 . 5D7F5A46975D2E59A6FECB6C231D200F . 84992 . . [5.1.2600.5512] . . c:\windows\system32\olepro32.dll
[-] 2008-04-14 12:00 . 5D7F5A46975D2E59A6FECB6C231D200F . 84992 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\olepro32.dll
.
[-] 2008-04-14 . C47FD93010649AC0D79022D9B69ADBE4 . 41984 . . [5.1.2600.5512] . . c:\windows\system32\perfctrs.dll
[-] 2008-04-14 . C47FD93010649AC0D79022D9B69ADBE4 . 41984 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\perfctrs.dll
.
[-] 2008-04-14 . F86000634319F71535BCE6B06995EE99 . 18944 . . [5.1.2600.5512] . . c:\windows\system32\version.dll
[-] 2008-04-14 . F86000634319F71535BCE6B06995EE99 . 18944 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\version.dll
.
[-] 2008-04-14 . 3BFE49B4CDFAC83B0F3C79412895A179 . 93184 . . [6.00.2900.5512] . . c:\windows\system32\dllcache\iexplore.exe
.
[-] 2008-04-14 . FE77A85495065F3AD59C5C65B6C54182 . 171520 . . [5.1.2600.5512] . . c:\windows\system32\srsvc.dll
[-] 2008-04-14 . FE77A85495065F3AD59C5C65B6C54182 . 171520 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\srsvc.dll
.
[-] 2008-04-14 . 7B353059E665F8B7AD2BBEAEF597CF45 . 177152 . . [5.1.2600.5512] . . c:\windows\system32\w32time.dll
[-] 2008-04-14 . 7B353059E665F8B7AD2BBEAEF597CF45 . 177152 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\w32time.dll
.
[-] 2008-04-14 . BC2C5985611C5356B24AEB370953DED9 . 334336 . . [5.1.2600.5512] . . c:\windows\system32\wiaservc.dll
[-] 2008-04-14 . BC2C5985611C5356B24AEB370953DED9 . 334336 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\wiaservc.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-02-26 65024]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-08 281768]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"BigDogPath"="c:\windows\VM_STI.EXE" [2004-06-09 40960]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_3"="advpack.dll" [2008-04-14 102400]
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\userinit.exe]
"Debugger"=c:\windows\system32\winp.exe
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Gigaset WLAN Adapter Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Gigaset WLAN Adapter Monitor.lnk
backup=c:\windows\pss\Gigaset WLAN Adapter Monitor.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^User^Startmenü^Programme^Autostart^OpenOffice.org 3.1.lnk]
path=c:\dokumente und einstellungen\User\Startmenü\Programme\Autostart\OpenOffice.org 3.1.lnk
backup=c:\windows\pss\OpenOffice.org 3.1.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 06:52	1695232	------w-	c:\programme\Messenger\msmsgs.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\xampp\\mysql\\bin\\mysqld.exe"=
"c:\\xampp\\apache\\bin\\httpd.exe"=
"c:\\Programme\\ICQ7.0\\ICQ.exe"=
"c:\\Programme\\ICQ7.0\\aolload.exe"=
"c:\\Programme\\OpenVPN\\bin\\openvpn.exe"=
"c:\\xampp\\MercuryMail\\mercury.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [06.01.2010 15:08 135336]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [04.01.2010 15:47 945152]
S3 ZSMC302;VIMICRO USB PC Camera;c:\windows\system32\drivers\usbVM31b.sys [05.03.2010 21:29 91263]
.
Inhalt des "geplante Tasks" Ordners
.
2011-03-08 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\ihq68t8p.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
FF - Ext: Firebug: firebug@software.joehewitt.com - %profile%\extensions\firebug@software.joehewitt.com
FF - Ext: ColorZilla: {6AC85730-7D0F-4de0-B3FA-21142DD85326} - %profile%\extensions\{6AC85730-7D0F-4de0-B3FA-21142DD85326}
FF - Ext: DictionarySearch: {a0faa0a4-f1a7-4098-9a74-21efc3a92372} - %profile%\extensions\{a0faa0a4-f1a7-4098-9a74-21efc3a92372}
FF - Ext: Dummy Lipsum: dummylipsum@sogame.cat - %profile%\extensions\dummylipsum@sogame.cat
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-03-08 19:28
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1136)
c:\programme\Funk Software\Odyssey Client\odLogin.dll
.
Zeit der Fertigstellung: 2011-03-08  19:30:27
ComboFix-quarantined-files.txt  2011-03-08 18:30
.
Vor Suchlauf: 11 Verzeichnis(se), 103.409.401.856 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 103.400.140.800 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 93F0336646A0766C1D977380EE21A531
         
--- --- --- --- --- ---


Alt 08.03.2011, 20:16   #6
coldfield
 
Statt Chrome oder Opera startet der IE - Standard

Statt Chrome oder Opera startet der IE



Das Log wird hier offenbar intern direkt als "Code" ausgezeichnet, sodass die zusätzliche Auszeichnung als "Code" überflüssig ist. Kann meinen vorherigen Eintrag leider nicht bearbeiten, da Firefox beim Absenden immer abstürzt. JFYI

Alt 08.03.2011, 20:24   #7
markusg
/// Malware-holic
 
Statt Chrome oder Opera startet der IE - Standard

Statt Chrome oder Opera startet der IE



das ist wurscht :-)

c:\windows\regedit.exe
bei
VirusTotal - Free Online Virus, Malware and URL Scanner
prüfen, poste den ergebniss link.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 08.03.2011, 20:29   #8
coldfield
 
Statt Chrome oder Opera startet der IE - Standard

Statt Chrome oder Opera startet der IE



hxxp://www.virustotal.com/file-scan/reanalysis.html?id=832faa57842c1bc8343ce0934f66d85fa2852ffcb16011902a67ecf9d0cd8241-1299612493

Alt 08.03.2011, 20:53   #9
markusg
/// Malware-holic
 
Statt Chrome oder Opera startet der IE - Standard

Statt Chrome oder Opera startet der IE



ok datei ist sauber.

download malwarebytes:
Malwarebytes
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 08.03.2011, 21:58   #10
coldfield
 
Statt Chrome oder Opera startet der IE - Standard

Statt Chrome oder Opera startet der IE



Als Resultat kommt immernoch die eingangs erwähnte userinit.exe

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5993

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

08.03.2011 21:50:37
mbam-log-2011-03-08 (21-50-37).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 225593
Laufzeit: 35 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Alt 09.03.2011, 12:30   #11
markusg
/// Malware-holic
 
Statt Chrome oder Opera startet der IE - Standard

Statt Chrome oder Opera startet der IE



dachte eig combofix hätte es geschafft,
na dann legen wir mal hand an..
start programme zubehör editor kopiere rein:

Killall::
Rootkit::
c:\windows\system32\winp.exe
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe,"


Datei speichern unter, ort, dort wo sich combofix.exe befindet, typ alle dateien name
cfscript.txt
ziehe cfscript auf combofix, programm startet log posten.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 10.03.2011, 13:58   #12
coldfield
 
Statt Chrome oder Opera startet der IE - Standard

Statt Chrome oder Opera startet der IE



Ich würde gerne, nur fährt mein PC seit unserer letzten Aufräumaktion nicht mehr richtig hoch. Heisst:
- PC bootet
- Windows starten
- Zeigt kurz das Hintergrundbild des Desktops
- Geht wieder auf den Windows-Startbildschirm
- Benutzername-Auswahl erscheint (und das hatte ich bisher nie - der Rechner wurde angemacht und fuhr komplett, ohne explizite Anmeldung hoch)
- Wähle ich nun den einzigen Benutzer "User-01" aus, wird kurz geladen, hört auf zu laden und das wars

Im abgesicherten Modus das gleiche Spiel, nur mit dem Unterschied, dass zur Auswahl noch ein "Administrator" angeboten wird. Passwort wird in allen Fällen zur Anmeldung nicht benötigt.

Und nun?

Alt 10.03.2011, 14:03   #13
markusg
/// Malware-holic
 
Statt Chrome oder Opera startet der IE - Standard

Statt Chrome oder Opera startet der IE



du meinst nach der Malwarebytes aktion? ja da hatts dir wohl die registry zerschossen.
hast du nen zweiten pc mit brenner? hat der betroffene cd nen laufwerk?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 10.03.2011, 15:12   #14
coldfield
 
Statt Chrome oder Opera startet der IE - Standard

Statt Chrome oder Opera startet der IE



Ich denke Combofix war der Auslöser. Malwarebytes hatte ich vorher auch schon drauf und nie Probleme gehabt.
Zweit PC hab ich nicht, hätte aber Zugang zu einem. Beide mit CD-Laufwerk. Muss ich was bei der Auswahl des anderen PCs beachten?

Alt 10.03.2011, 15:27   #15
markusg
/// Malware-holic
 
Statt Chrome oder Opera startet der IE - Standard

Statt Chrome oder Opera startet der IE



hmm tut mir auf jeden fall leid, aber so was passiert halt schon mal.
bitte mit ubuntu live cd ne daten rettung machen:
Download | Ubuntu
wir setzen dann neu auf und sichern das system ab.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Statt Chrome oder Opera startet der IE
.dll, antivir, browser, chrome, einstellungen, explorer, file, firefox, internet, internet explorer, nicht angezeigt, nt.dll, opera, problem, registry, scan, schaltflächen, schädling, seiten, services.exe, software, svchost.exe, system, temp, werbung, windows, winlogon.exe, wuauclt.exe, öffnet



Ähnliche Themen: Statt Chrome oder Opera startet der IE


  1. Opera Chrome New Update Available Popup.. Virus?
    Plagegeister aller Art und deren Bekämpfung - 24.07.2015 (7)
  2. Chrome/Opera öffnet werbe-tabs automatisch!
    Log-Analyse und Auswertung - 04.06.2015 (21)
  3. Google Chrome und Opera Absturz
    Plagegeister aller Art und deren Bekämpfung - 30.10.2014 (11)
  4. Browserwahl - Chrome, IE, Firefox oder Opera
    Alles rund um Windows - 23.10.2014 (6)
  5. Windows 8.1: Werbe-Popups in Google Chrome und Opera
    Log-Analyse und Auswertung - 24.07.2014 (16)
  6. Maus Klick 2x statt 1x/ Google Chrome öffnet Ads trotz Adblock pro
    Plagegeister aller Art und deren Bekämpfung - 30.05.2014 (86)
  7. Firefox (auch Opera oder Chrome) leitet permanent auf unerwünschte Seiten und stellt den Proxy um - WIN 8
    Log-Analyse und Auswertung - 22.05.2014 (12)
  8. das leidige Thema mit den doppelt grün unterstrichenen Wörtern auf diversen Websiten, bei Chrome und Opera
    Plagegeister aller Art und deren Bekämpfung - 10.11.2013 (13)
  9. Statt Programmen startet immer nur Word
    Plagegeister aller Art und deren Bekämpfung - 03.04.2013 (7)
  10. Sicherheitsupdates für Chrome und Opera
    Nachrichten - 31.08.2012 (0)
  11. Virus oder ähnliches-schließt Opera,Antivirusprogramme;Taskmanager,...
    Plagegeister aller Art und deren Bekämpfung - 30.06.2011 (1)
  12. opera.exe startet ohne dass Opera angeht - Flopy arbeitet alle 10 sec
    Plagegeister aller Art und deren Bekämpfung - 31.03.2011 (20)
  13. Google Chrome und Opera starten nicht
    Plagegeister aller Art und deren Bekämpfung - 03.11.2010 (8)
  14. 16 statt 256 Farben/640x480 statt 800x600
    Alles rund um Windows - 14.07.2008 (4)
  15. PC startet neu, statt auszuschalten...
    Alles rund um Windows - 18.04.2005 (1)
  16. [win] Opera 7.20 beta 11 /jetzt mit google textwerbung (oder bilder, wer mag)
    Alles rund um Windows - 12.09.2003 (1)
  17. Opera oder Firebird?
    Antiviren-, Firewall- und andere Schutzprogramme - 30.06.2003 (30)

Zum Thema Statt Chrome oder Opera startet der IE - Hallo zusammen, ich habe folgendes Problem und hab bisher im Netz leider noch keine weiterhelfende Erklärung hierzu gefunden: Wenn ich opera oder chrome starte, öffnet sich der Internet Explorer 6. - Statt Chrome oder Opera startet der IE...
Archiv
Du betrachtest: Statt Chrome oder Opera startet der IE auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.