|
Internet Explorer startet selbstständig mit Werbung. Hallo Leute, ja ich weiß, dieses thema ist schon oft aufgetaucht, allerdings finde ich in diesem, sowie in anderen Foren keine Lösung für mein problem :( Also zur beschreibung: IE öffnet sich selbständig wenn mein Laptop (Toshiba Satellite P300D-11W) ans Internet angeschlossen ist. Die Werbung geht von Tchibo bis zu Partnerbörsen und sonstigem... Hab schonmal mit HijackThis nen log gemacht: Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 18:22:25, on 18.05.2011 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Programme\Windows Defender\MSASCui.exe C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe D:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Desktop Search\WindowsSearch.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe C:\Programme\Avira\AntiVir Desktop\avshadow.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\O2Micro Flash Memory Card Driver\o2flash.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\SearchIndexer.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\Windows Media Player\wmplayer.exe C:\TEMP\Mb2.exe C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpCtr.exe C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe D:\Programme\Safari\Safari.exe C:\WINDOWS\Msaguc.exe C:\TEMP\Mb1.exe C:\TEMP\f29chgfq.tmp\HiJackThis204.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Camera Assistant Software] "C:\Programme\Camera Assistant Software for Toshiba\traybar.exe" /start O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 10.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SNJQ66R8MU] C:\TEMP\Mb1.exe O4 - HKCU\..\Run: [OO1310T0QS] C:\TEMP\Mcc.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm O9 - Extra button: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - D:\Programme\ICQ7.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - D:\Programme\ICQ7.5\ICQ.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1305375068789 O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Programme\O2Micro Flash Memory Card Driver\o2flash.exe -- End of file - 6937 bytes Ich hoffe sehr, dass mir jemand weiterhelfen kann!.. an alle schon mal danke im vorraus :) Gruß We.are.One! |
hi, na ich denke dein thema wird auch nicht das letzte sein h:-) Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt beide posten |
oke er läuft nun... wie lang dauert das erstellen der files denn ? |
weis ich nicht genau, kommt auf den pc an, schalte alle hintergrund programme aus, arbeite nicht am pc dann gehts evtl. schneller, rund 40 minuten vllt. |
ich würde mal sagen der schaut ja nach den in den letzen 30 tagen neu erstellten dateien oder ?... das könnte etwas länger dauern , da ich auf meinen laptop der eigentlich mit vista lief, aber irgendwann vista zerschossen war, xp installieren hab lassen.. da sind einige dateien die er durchsuchen könnte... |
wieso hast du ihn nicht vernünftig neu aufsetzen lassen, so ein quatsch nen nicht mehr funktionierendes bs zu behalten, kostet doch platz... |
Internet Explorer startet selbstständig mit Werbung. ja schon klar, nur ich bin im moment bisschen knapp bei kasse... platz ist noch genug da und er läuft an sonsten auch einwandfrei. es ist nur das problem mit den internet pop-ups da:( so er ist ferig, soll ich die files kopieren und posten oder irgendwo anhängen ? so im anhang wären dann die beiden dateien. |
• Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. :OTL PRC - C:\WINDOWS\Msaguc.exe (Simon Tatham) PRC - C:\TEMP\Mb2.exe (Simon Tatham) PRC - C:\TEMP\Mb1.exe (Simon Tatham) PRC - C:\Programme\O2Micro Flash Memory Card Driver\o2flash.exe (O2Micro International) O4 - HKU\S-1-5-21-1844237615-484061587-1177238915-1003..\Run: [OO1310T0QS] C:\TEMP\Mcc.exe (Simon Tatham) O4 - HKU\S-1-5-21-1844237615-484061587-1177238915-1003..\Run: [SNJQ66R8MU] C:\TEMP\Mb1.exe (Simon Tatham) [2011.05.18 14:51:30 | 000,141,312 | ---- | C] (Simon Tatham) -- C:\WINDOWS\Msaguc.exe [2011.05.18 14:50:18 | 000,141,312 | ---- | C] (Simon Tatham) -- C:\WINDOWS\Msagub.exe [2011.05.17 16:02:59 | 000,141,312 | ---- | M] (Simon Tatham) -- C:\WINDOWS\Msagua.exe :Files C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job C:\WINDOWS\System32\sshnas21.dll :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. öffne arbeitsplatz , öffne D: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. http://www.trojaner-board.de/54791-a...ner-board.html |
okay ich hab das alles gemacht und er wollte einen neustart... allerdings ist der erste neustart direkt mal fehlgeschlagen, und ich hab ihn "mit der als letztes funktionierenden einstellung" wieder hochgefahren... das file kam allerdings trotzdem!... All processes killed ========== OTL ========== No active process named Msaguc.exe was found! No active process named Mb2.exe was found! No active process named Mb1.exe was found! No active process named o2flash.exe was found! Registry value HKEY_USERS\S-1-5-21-1844237615-484061587-1177238915-1003\Software\Microsoft\Windows\CurrentVersion\Run\\OO1310T0QS deleted successfully. C:\TEMP\Mcc.exe moved successfully. Registry value HKEY_USERS\S-1-5-21-1844237615-484061587-1177238915-1003\Software\Microsoft\Windows\CurrentVersion\Run\\SNJQ66R8MU deleted successfully. C:\TEMP\Mb1.exe moved successfully. C:\WINDOWS\Msaguc.exe moved successfully. C:\WINDOWS\Msagub.exe moved successfully. C:\WINDOWS\Msagua.exe moved successfully. ========== FILES ========== C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job moved successfully. C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job moved successfully. C:\WINDOWS\System32\sshnas21.dll moved successfully. ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Default User User: Johannes ->Flash cache emptied: 7184 bytes User: LocalService User: NetworkService Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Johannes ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 15638694 bytes ->Java cache emptied: 19093 bytes ->Apple Safari cache emptied: 80870400 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 75088 bytes ->Temporary Internet Files folder emptied: 33237 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 7029 bytes Session Manager Temp folder emptied: 295848652 bytes Session Manager Tmp folder emptied: 314 bytes RecycleBin emptied: 223455416 bytes Total Files Cleaned = 588,00 mb OTL by OldTimer - Version 3.2.22.3 log created on 05182011_192128 Files\Folders moved on Reboot... C:\TEMP\MPC76.tmp moved successfully. Registry entries deleted on Reboot... |
soo ich hab das beim upload channel hochgeladen, und da steht auch, dass das funktioniert hat, aber ich hier scheint es ja noch nicht zu sein oder ? :( |
ne ist ja auch gut so, sonst infiziert sich noch wer mit malware. der upload ist nur für leute mit dem richtigen passwort sichtbar und in einem anderem foren bereich. download malwarebytes: Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer instalieren, öffnen, registerkarte aktualisierung, programm updaten. schalte alle laufenden programme ab, trenne die internetverbindung. registerkarte scanner, komplett scan, funde entfernen, log posten. |
soo das wäre das ergebnis ! ich glaube das wars oder ? :) |
bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
muss das unbedingt sein ... ? aber wenn geht das erst später am nchmittag weil ich im moment noch keine zeit dazu finde... aber was gut ist, ist das die werbe pop-ups schon mal nicht mehr auftauchen:Boogie: :) |
nö, ich mach das hier alles nur zu meinem vergnügen.... na sicher muss das sein. :-) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:00 Uhr. |
Copyright ©2000-2025, Trojaner-Board