Trojaner-Board - Mein internetexplorer öffnet von allein immer irgendwelche internetseiten

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Mein internetexplorer öffnet von allein immer irgendwelche internetseiten (https://www.trojaner-board.de/32278-internetexplorer-oeffnet-allein-immer-irgendwelche-internetseiten.html)

Mein internetexplorer öffnet von allein immer irgendwelche internetseiten

Hy Leute ich hab das problem das mein rechner immer wieder irgendwelche seiten öffnet obwohl ich das gar nicht will ich hab mal hijackthis durchlaufen lassen und vieleicht kann einer von euch helfen ................

Zitat:

Zitat von lepaz

SO ist es "BRAV"! :blabla:

1.) Poste als aller erstes ein Hijacklog, Anleitung dazu in meiner Signatur verlinkt.
2.) Hast du dein System mal mit deinem AV-Scanner überprüft, wenn ja, irgendwas gefunden?

Gruß
Sunny

also er hat nichts gefunden hab zwei programme durchlaufen lassem :-(

Logfile of HijackThis v1.99.1
Scan saved at 19:15:57, on 17.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\System Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Treiber\Maus\Bin\DpHost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wdfmgr.exe
D:\Treiber\Maus\Bin\DPFUSMgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
D:\Treiber\Maus\Bin\DPAgnt.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\ECURIT~1\WAUBOO~1.EXE
C:\WINDOWS\WNSXS~1\ping.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\CD Emulation\***N Tools\***on.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\patcher.exe
c:\nwnmff_e6.exe
C:\Programme\Network Monitor\netmon.exe
C:\WINDOWS\VG9uaQ\command.exe
c:\dfndrff_e6.exe
c:\kybrdff_e6.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\***i\Desktop\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://de.**.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.ya**.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://red.clientapps.ya**.com/customize/****/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.***x.com/***x/create/buy/de
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programme\Deskbar\deskbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\***\***Toolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\****e\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c
O4 - HKLM\..\Run: [DPAgnt] D:\Treiber\Maus\Bin\DPAgnt.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [lgla065d] RUNDLL32.EXE w1a41225.dll,n 002a065b0000000a1a41225
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [newname] c:\\nwnmff_e6.exe
O4 - HKLM\..\Run: [Windows Services] "C:\Programme\svchosts.exe"
O4 - HKLM\..\Run: [defender] c:\\dfndrff_e6.exe
O4 - HKLM\..\Run: [keyboard] c:\\kybrdff_e6.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Update\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [Personal Desktop] C:\PROGRA~1\SA269F~1.D\PERSON~1\pdesk.exe
O4 - HKCU\..\Run: [Nfxpyliu] C:\PROGRA~1\ECURIT~1\WAUBOO~1.EXE
O4 - HKCU\..\Run: [Bier] "C:\WINDOWS\WNSXS~1\ping.exe" -vt ndrv
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Update\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Icq\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\****ite\*******.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5526B4C6-63D6-41A1-9783-0FABF529859A} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h***://update.microsoft.com/w*****/v6/V5Controls/en/x86/client/wuweb_site.cab?1153691389906
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h***://update.microsoft.com/m*****e/v6/V5Controls/en/x86/client/muweb_site.cab?1153985293093
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - h**p://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} -
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\inmp.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - *:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - *:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\VG9uaQ\command.exe
O23 - Service: Windows XP FUS Manager (DPFUSMgr) - DigitalPersona, Inc. - *:\Treiber\Maus\Bin\DPFUSMgr.exe
O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - *:\Treiber\Maus\Bin\DpHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - *:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Network Monitor - Unknown owner - *:\Programme\Network Monitor\netmon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\System Programme\***\WinStylerThemeSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

Zitat:

also er hat nichts gefunden hab zwei programme durchlaufen lassem

Nichts gefunden? :eek:

Bei dem starken Befall hätte jeder (noch funktionierende!) Virenscanner etwas finden müssen.

Das sind die größten Schädlinge:

Zitat:

C:\WINDOWS\VG9uaQ\command.exe
C:\Programme\svchosts.exe
C:\Programme\Network Monitor\netmon.exe

Das war nur ein kleiner Auszug von dem was im System aktiv ist!
Lass alle Dateien mal Virustotal auswerten, vor allem die fett markierte.

Und lies dir schonmal langsam den Link in meiner Signatur durch -> "Neuaufsetzen des Systems"

..eine andere Möglichkeit wird dir nämlich nicht bleiben dein System zu bereinigen bzw. wieder in einen vertrauenswürdigen Zustand zu bringen.

Gruß
Sunny

also würdest du mir raten denn rechner neu zu machen also alle programme neu installieren Format C????? weil mit demm gedanken spiel ich schon die ganze zeit

Zitat:

Zitat von lepaz

also würdest du mir raten denn rechner neu zu machen also alle programme neu installieren Format C????? weil mit demm gedanken spiel ich schon die ganze zeit

Es ist die schnellste, sicherste und effektivste Methode!!! ABSOLUT!!!

Alles andere wäre nur "rum-flickerei".

Ich würde nicht lange zögern sondern alles platt machen, in 3 Stunden hast du ein komplett neues System :daumenhoc

Wäre aber schön zu wissen was bzw. welcher Trojaner sich hinter dieser Datei versteckt --> C:\Programme\svchosts.exe

Lass sie bitte mal auswerten, und poste dann das Ergebnis. (bin neugierig!)

Gruß
Sunny

Your file "svchosts.exe" is queued in position: 37. Estimated start time is between 8 and 12 minutes.

Antivirus Version Update Result

Aditional Information
VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.

ICh danke dir denn und werd mich nachher gleich ransetzen

3stunden ist ja nicht lang deswegen

Zitat:

Zitat von lepaz

Your file "svchosts.exe" is queued in position: 37. Estimated start time is between 8 and 12 minutes.

Antivirus Version Update Result

Du musst ein bisschen länger warten, der Scan war noch nicht vollständig°! :o

Complete scanning result of "svchosts.exe", received in VirusTotal at 09.17.2006, 19:57:33 (CET).

Antivirus Version Update Result
AntiVir n - no virus found
Authentium n - no virus found
Avast n - no virus found
AVG n - no virus found
BitDefender n - no virus found
CAT-QuickHeal n - no virus found
ClamAV n - no virus found
DrWeb n - no virus found
eTrust-InoculateIT n - no virus found
eTrust-Vet n - no virus found
Ewido n - no virus found
Fortinet n - no virus found
F-Prot n - no virus found
F-Prot4 n - no virus found
Ikarus n - no virus found
Kaspersky n - no virus found
McAfee n - no virus found
Microsoft n - no virus found
NOD32v2 n - no virus found
Norman n - no virus found
Panda n - no virus found
Sophos n - no virus found
Symantec n - no virus found
TheHacker n - no virus found
UNA n - no virus found
VBA32 n - no virus found
VirusBuster n - no virus found

Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709
packers: UPX

Zitat:

Zitat von lepaz

Es handelt sich dabei definitiv um einen Trojaner, aber leider sieht man nicht um welchen. Daher ist die Größe der Datei auch 0 Bytes groß ;)
Ein Indiez dafür das sich die Datei selbst schützt...

Zitat:

Zitat von [Gc]Sunny

Ein Indiez dafür das sich die Datei selbst schützt...

Kann man das nicht umbegehen? Hab mal was gelesen/gehört, das man sone Datei auf Desktop Kopieren soll und Unbennen soll!
Was ist da dran?

Danke für deine Hilfe ich kenn mich ja leider nicht so aus damit deshalb:-) denn werd ich demm system mal denn stecker ziehen *grins* gibt es vieleicht nen gutes programm womit ich alles säubern kann ohne das wieder und wieder neu installieren muss?? also am besten das unwiederruflich die platte leer ist ??????

LG TONI

Durch die Formatierung ist die Platte Fabrikneu...also Clean!

Immer schön nen Backup machen, am besten alles zwei Tage....so hast immer was zur Hand, wenn was passiert!
Ich habe, z.b. eine Partition, nur für Backups. Da sind immer vier verschiedene Backups drauf....so habe ich, über einen Zeitraum von 10 - 14 Tagen immer was da......blöd zu erklrären....

Gruß Mellosun