Trojaner-Board - Internet Explorer öffnet nicht mehr

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Internet Explorer öffnet nicht mehr (https://www.trojaner-board.de/59631-internet-explorer-oeffnet-mehr.html)

Internet Explorer öffnet nicht mehr

Hallo zusammen!

Ich habe folgendes Problem:

Auf dem Firmenlaptop funktioniert der Internet Explorer nicht mehr. Ich kann ihn zwar doppelklicken und er lädt aber es kommt nichts weiter.

Auch im Taskmanager findet sich dazu nichts. Im Leerlauf hat das System eine Auslastung von 1-2% was ich als normal einstufen würde.
Habe den aktuellen Virenscanner durchlaufen lassen und geupdatet aber er hat nicht gefunden, auch AdAware habe ich durchlaufen lassen und die erforderlichen Funde gelöscht.

Da es eben der Firmenlaptop ist muss das Problem ohne eine neuinstallation von Windows gelöst werden. Aufgrund dessen wurde bisher auch nie ein Servicepack etc installiert da er nie im Internet genutzt wurde (nur einmal von mir jetzt)

Habe das HiJack Log dann mal für euch und hoffe ihr könnt mir helfen!

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:11:11, on 10.09.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Microsoft SQL Server\MSSQL$MIELE_ETD\Binn\sqlservr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Acer\Launch Manager\LaunchAp.exe
C:\Programme\Acer\Launch Manager\PowerKey.exe
C:\Programme\Acer\Launch Manager\HotkeyApp.exe
C:\Programme\Acer\Launch Manager\KeyHook.exe
C:\Programme\Acer\Launch Manager\CtrlVol.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\lotus\wordpro\ltsstart.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Miele-eBTD\jdk\bin\javaw.exe
E:\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Acer\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Acer\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Acer\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [KeyHook] "C:\Programme\Acer\Launch Manager\KeyHook.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Acer\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lotus Schnellstart.lnk = C:\lotus\wordpro\ltsstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{3139FA7E-966E-4D55-B4DB-96F75F653EAB}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEM

Entschuldigt das ich es hochschiebe.
Brauche aber dringend Hilfe da ohne den Internet-Explorer diverse Programme nicht funktionieren.

Sollt ich was nicht beachtet haben beim posten des Logs oder so bitte ich um Berichtigung.

Sollte ich sonst einfach die Service-Packs installieren und den IE7?
Will das jetzt nicht noch schlimmer machen :(

Hi,

es kann sein dass ich mich täuche, aber soviel ich weiß dürfen wir hier keine firmen-pc´s bereinigen.

daher nur mal kurz: aus dem log ist soweit nix zu erkennen, aber:

Zitat:

Da es eben der Firmenlaptop ist muss das Problem ohne eine neuinstallation von Windows gelöst werden. Aufgrund dessen wurde bisher auch nie ein Servicepack etc installiert da er nie im Internet genutzt wurde

:rolleyes:

Zitat:

nur einmal von mir jetzt

das war ohne servicepack schon zweimal zuviel ;).

Also das ist nun kein Firmen PC im Sinne von ich arbeite bei einem großen Konzern oder so.
Ist ein kleiner Betrieb und da mein Chef keine Ahnung von Computern hat sollte ich mich eben drum kümmern.

Könnte das Problem denn durch das installieren der Servicepacks gelöst werden?

das hauptproblem ist folgendes:

aus dem log ist keine verseuchung zu erkennen, das hat aber nix zu heißen, da hjt nur an der oberfläche kratzt.

wenn man jedoch ein servicepack auf einem verseuchten rechner installiert, ist das der todesstoß für das system, also müsste man erstmal genauer schauen, ob was vorliegt.

und das ein rechner ohne sp, nach verbindung mit dem inet im regelfall innerhalb einer minute so dermaßen attackiert und befallen wird, dass eigentlich nix mehr geht, sollte jedem bekannt sein.

weiteres erst, wenn ein mod das ok gibt :)

Zitat:

Zitat von schrauber26 (Beitrag 372838)

weiteres erst, wenn ein mod das ok gibt :)

Nach einer PN von Nightfaith kann ich hier das OK zur weiteren Bereinigung/Problemlösung geben! :party:
So wie es sich hier darstellt kann man unter dem Aspekt das der PC fast ausschließlich privat genutzt wird hier fortfahren... ;)

Gruß
Sunny

na denn, hauen wa mal rein :D

lasse Malwarebytes Antimalware scannen, funde löschen lassen, log posten.

====

Lade Random's System Information Tool (RSIT) von random/random herunter,
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro für HJT akzeptieren I accept.
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Vielen Dank für die Hilfe im Vorraus!

Hier das Log von Malware:

Zitat:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1134
Windows 5.1.2600

14.09.2008 13:33:42
mbam-log-2008-09-14 (13-33-42).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 94017
Laufzeit: 47 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Und dann die beiden von RSIT. Leider weiß ich nicht wie man das minimiert postet *hust* daher habe ich die TXT's angehangen.

hmm, nichts zu erkennen. kommt ne fehlermeldung wenn du den ie öffnen willst?

mach mal folgendes:

start > ausführen > iexplore > ok drücken.

geht er dann?

mal nen alternativen browser installiert und probiert? wenn nicht würd ich mal die servicepacks installieren, vorher aber noch das:

Kaspersky Online Scan
Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten. Java muss aktiv sein. Bei Nutzung des Internet Explorer musst Du die ActiveX Steuerelemente (Controls) zulassen. Wenn es nicht funktioniert, die jeweilige Seite zu den Sicheren hinzufügen bzw. die Sicherheitseinstellungen (Extras => Internetoptionen) für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Der Scan kann auch mit dem Firefox ausgeführt werden. Dafür muss Java installiert und aktiv/erlaubt sein. Bebilderte Anleitung von sundavis.

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
Wir werden Dir helfen, die Funde manuell vom System zu entfernen.

Browser öffnen und
Kaspersky Online Scanner ansurfen.
Die Datenschutzerklärung akzeptieren.
Die nötigen ActiveX-Steuerelemente installieren lassen.
Update der Signaturen installieren lassen => Weiter
Scan-Einstellungen => Standard wählen => OK
Link "Arbeitsplatz" anklicken
Scan beginnt automatisch
Untersuchung wurde abgeschlossen => Protokoll speichern als...
Dateityp auf .txt umstellen => und auf dem Desktop als Kaspersky.txt speichern
Logdatei hier posten.

Deinstallation
nicht nötig, alle Dateien werden in temporären Ordnern gespeichert
=> C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp\jkos-<Benutzername>

Zitat:

Online-Scanner sind alle reine On-Demand-Scanner. Sie durchsuchen einzelne Dateien oder Verzeichnisse, wahlweise die gesamte Festplatte, haben keinen Hintergrundwächter oder andere residente Prozesse. Dardurch verbrauchen sie außer Festplattenspeicher keine Resourcen und man kann beliebig viele gleichzeitig installieren. Die Online-Scanner sind gut geeignet, um sich eine zweite Meinung einzuholen.

Sodele, nach 2std Scan und keinem Fund kann ich endlich antworten.

Es kommt keine Fehlermeldung und wenn ich den IE über ausführen starte passiert das gleicge wie beim Doppelklick auf dem Desktop, er lädt kurz und es passiert nichts.

Habe Firefox installiert als alternativ Browser und keinerlei Probleme damit.

Was das nur ist.. Um die neuen Updates zu installieren muss ich die manuell runterladen oder geht das auch mit dem Windowsupdater?

Mir ist allerdings aufgefallen das Windows auf dem Lappi mittlerweile lange Ladezeiten hat..

zeig mir mal ein frisches Hijackthis-log, und mach mal folgendes:

Fehler in Windows beseitigen

Lade Dial-a-Fix herunter und entpacke das Programm in einen eigenen Ordner auf Deinem Desktop.

Öffne den Dial-a-Fix-Ordner und starte die dial-a-fix.exe durch Doppelklick.
Klicke unten auf den Button Policies....
Wenn etwas gefunden wird, klicke in dem neuen Fenster auf Remove und schließe das Fenster wieder.
Klicke nun unten auf den Button mit dem grünen Doppelhaken (Check all).
Klicke auf Go zum Starten.
Dial-a-fix arbeitet nun einige Aufgaben ab, warte bis es komplett fertig ist (Ready).
Wenn Dia-a-Fix fertig ist, klicke auf das Log-Symbol (rechts neben dem Hammer),
klicke auf Save und speichere das Log als Dial-a-fix.log auf dem Desktop.
Poste das Log hier in den Thread.
Klicke auf Exit und starte den Rechner neu.

====

Downloade Dr. Web CureIt! und speichere es auf Deinem Desktop.

Starte die cureit.exe durch Doppelklick auf die cureit.exe.
Dr. Web CureIt! legt nun automatisch einen eigenen Order in Deinem Userprofil an
C:\Dokumente und Einstellungen\<DeinBenutzername>\DoctorWeb
Breche die Schnellüberprüfung durch Klick auf den viereckigen grünen Button ab.
Gehe im Menü auf Option => Einstellungen ändern, dort dann
bei "Protokolldatei" => entferne bei "Details" alle Haken, damit das Log nicht so lang wird,
bei "Aufgaben" => Nicht desinfizierbare Objekte => auf "verschieben" umstellen.
Übernehmen => OK
Stelle bei dem Reiter "Überprüfung" auf "Komplett überprüfen" um.
Starte nun den Komplett-Scan durch Klick auf den dreieckigen Button.
Wenn ein Fund gemacht wird, bitte mit "Ja, alle" antworten.
Wenn der Scan beendet ist, öffne im Menü => Datei => Prüfbericht speichern.
Den Prüfbericht als DrWeb.csv auf dem Desktop speichern und hier posten.

So, da der Laptop so langsam ist hier die 3 Files.
Dauert alles etwas länger leider.
Die Docotor Web Datei ist leider zu groß geraten zum anhängen

wurde bei dr.web was gefunden? wie läuft die kiste nach dial-a-fix?

Soweit alles super ausser das mein IE nicht öffnet :(
Dr. Web hat nix gefunden.

tja wobei wir wieder beim anfangspunkt wären.

neuaufsetzen

oder auf firefox umsteigen und damit leben, aber dass der ie nicht geht hat einen grund, ich finde ihn nur nicht :o