Trojaner-Board - Neuartiger Virus/Trojaner?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Neuartiger Virus/Trojaner? (https://www.trojaner-board.de/43444-neuartiger-virus-trojaner.html)

Neuartiger Virus/Trojaner?

Moin moin liebe Experten,

wenn ich mit dem neuesten Opera Browser surfe, öffnen sich nach ca. 5 Sekunden AUTOMATISCH 3 Excelfenster mit Webinhalten.

Versuche ich nun eine neue Website zu öffnen, z.B. spiegel.de, dann öffnet sich diese Seite mit EXCEL!?

Das Surfen mit dem Internetbrowser klappt problemlos.

Habe AntiVir und den neuesten Stinger..dieser hatte auch einen Trojaner gefunden, ich habe die Option "löschen" gewählt:

BTW, welche Option sollte ich immer wählen, wenn Stinger einen Trojaner findent? Zugriff verweigern, löschen? Was ist da am besten?

Naja, jedenflass besteht der Fehler mit Opera nun nach Löschen des Trojaners weiterhin.

Was kann das sein Leute? Kriege langsam ein bisschen Angst,

verzweifelte Grüße,

Euer Strandhonk :teufel1:

Zitat:

Zitat von Strandhonk (Beitrag 293615)

Habe AntiVir und den neuesten Stinger..dieser hatte auch einen Trojaner gefunden, ich habe die Option "löschen" gewählt:

Wo wurde welcher Trojaner gefunden?

Und erstelle bitte ein Hijackthis-log.
Mfg

Hi Pünktchen,

den Trojaner habe ich mit Stinger gefunden. In welcher Datei/Ordner dieser steckte kann ich nicht mehr nachvollziehen,oder kann ich das bei Stinger irgendwo nachlesen? Auch den Namne hab ich mir nicht gemerkt.

Ein Highjacklog habe ich erstellt und unter hijackthis.de geprüft:

alles okay, bis auf ein Fragezeichen bei

C:\Program Files\Boots F2CD\Picture Suite\InsDetect.exe

ziegt er mir nix an.

Anbei aber nochmals das komplette Log.

Logfile of HijackThis v1.99.1
Scan saved at 16:26:44, on 14.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Boots F2CD\Picture Suite\InsDetect.exe
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Margrit\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com/german
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Boots Insert Detect] C:\Program Files\Boots F2CD\Picture Suite\InsDetect.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - Startup: CD-MENU.LNK = F:\MENU.exe
O4 - Global Startup: Action Manager 32.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098643608031
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

Vielen Dank für Eure Meinung,

HILFE, Euer dankbarer Strandhonk :zzwhip:

Zitat:

Zitat von Strandhonk (Beitrag 293629)

den Trojaner habe ich mit Stinger gefunden. In welcher Datei/Ordner dieser steckte kann ich nicht mehr nachvollziehen,oder kann ich das bei Stinger irgendwo nachlesen? Auch den Namne hab ich mir nicht gemerkt.

Das weiss Ich nicht, kenne das Programm nicht.:balla:

Zitat:

C:\Program Files\Boots F2CD\Picture Suite\InsDetect.exe

Sollte i.O sein. Wenn du willst kannst du die Datei mal bei Virustotal hochladen.
Zu deinem Problem:
Ich kenne mich mit Opera nicht aus, aber wie sieht denn die Seite aus, welche in Excel geöffnet wird? Normal? Oder wird nur ein Teil in Excel geöffnet? Was passiert mit der ursprünglichen Seite? Wird sie geschlossen?
Evt. ist irgendwo eine falsche Einstellung getätigt worden.
Sonst auf Firefox umsteigen:lach:
Mfg

Deswegen benutze ich ja Opera, Firefox finde ich besch... ;)

Also, die Seite sieht so aus, als ob man z.b. Spiegel.de mir Excel öffnen möchte, sprich:

die links sind groß und blau dargestellt, einige Fotos, Hintergrund weiß.

Genauos verhält es sich mit anderen Seiten.

Kann ich hier ein jpg reinstellen, um dies darzustellen? Und wenn ja, wie kann ich die jpg hier hochladen?

Weiß echt nicht mehr weiter, das Updaten von Opera hat auch nix gebracht.

Zitat:

Zitat von Strandhonk (Beitrag 293635)

Kann ich hier ein jpg reinstellen, um dies darzustellen? Und wenn ja, wie kann ich die jpg hier hochladen?

Ja. z.B. So!->ImageShack® - Hosting Aber Bitte nicht 1248x1024^^

Hi Pünktchen,

anbei also mein Fehlerbild, sicherheitshalber mit beiden Links von der SEite, die Du mir gegeben hast:

http://img162.imageshack.us/img162/6...bildin9.th.png

und

[img=http://img162.imageshack.us/img162/6073/fehlerbildin9.th.png]

Ich öffne also Opera, und erhalte ganz normal eine blanke Website.

Oben gebe ich die Adresse ein, in diesem Beispiel SPIEGEL ONLINE - Nachrichten.

Anstatt die Seit mit dem Browser zu öffnen, öffnet sich plötzlich EXCEL mit der Seite von spiegel.de (siehe Bild.)

Wenn ich von der alten, leeren Startseite (bei opera öffnen sich neue Seiten in einem neuen TAB) dann eine neue Adresse eingebe, z.B. google.de, öffnet sich Excel erneut, und ich erhalte einen Fehlerbericht der Art "applikation fehlgeschlagen usw. (oder z.B. bei xing.de "Fehlende Datei: C:\css\ying\stylesheet.css") oder die Fehlermeldung "Laufzeitfehler 1004 - die Methode EnableCancelKey für das Objekt _Applikation ist fehlgeschlagen".

Kurz:

Opera öffnet statt mit dem Browser neue Seiten mit Excel und kommt damit nicht ganz zurecht.

Ist das nun ein Trojaner, oder wie kommt sowas zustande? Finde auch über google einfach NIX ;)

Belustigte Grüße,

Euer Strandhonk (bin richtig gespannt, was das ist) :huepp:

Zitat:

Zitat von Strandhonk (Beitrag 293680)

Ist das nun ein Trojaner, oder wie kommt sowas zustande? Finde auch über google einfach NIX ;)

Das schliesse Ich kurzerhand aus!
Ich tippe eher auf falsche Einstellung, dass zb Seiten mit mehreren Frames in Excel geöffnet werden sollen oder so was in der Art.

Zitat:

(bin richtig gespannt, was das ist) :huepp:

Jop, Ich auch. Da müssen wir wohl oder übel auf Operaexperten warten!:)
Mfg

Moin nochmal,

gibts es denn wirklich niemanden, der eine Idee/Vermutung zu meinem Problem hat?

Oder kann mir jemand ein Forum empfehlen, das mir weiterhelfen könnte?

Würde gerne wieder schnell und sicher mit Opera surfen, und nicht mit dem üblen I-Net-Browser!

Muchas gracias, Euer Strandhonk

Zu Hülf! :headbang: