|
Es öffnen sich immer wieder von alleine neue Internetfenster Ich habe ein großes Problem, wie im Topic schon zu sehen ist, öffnen sich bei mir immer wieder neue Internetfenster ohne das ich was mache (meistens Werbung). Ich habe ehrlich gesagt keine Ahnung was ich dagegen tun kann! Ich vermute lediglich, dass es irgend ein Trojaner ist! Wäre für jede Hilfe sehr dankbar! Hier meine JHT Log-File: Logfile of Trend Micro HJT v2.0.2 Scan saved at 15:00:16, on 09.01.2009 Platform: Windows XP SP3, v.3264 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\Dit.exe C:\Programme\Java\jre6\bin\jusched.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\Lexmark 1200 Series\lxczbmgr.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Lexmark 1200 Series\lxczbmon.exe C:\WINDOWS\system32\ctfmon.exe C:\dokumente und einstellungen\benny\lokale einstellungen\anwendungsdaten\roafa.exe C:\WINDOWS\DitExp.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\qip\qip.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.bearshare.com/de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://h**p://resultsmaster.com/Smar...meLeftPane.htm R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu4\toolbaru.dll (file missing) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing) O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: (no name) - {C18D55BD-F59D-4B4F-B145-464FF97C055E} - C:\WINDOWS\system32\sfc32.dll (file missing) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [MW1HelperStartUp] C:\PROGRA~1\MAGICW~1\MW1HEL~1.EXE /partner MW1 O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Lexmark 1200 Series] "C:\Programme\Lexmark 1200 Series\lxczbmgr.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [roafa] "c:\dokumente und einstellungen\benny\lokale einstellungen\anwendungsdaten\roafa.exe" roafa O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: qip 2005.lnk = C:\Programme\qip\qip.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://update.microsoft.com/w...?1125807084250 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://h**p://update.microsoft.com/m...?1125815249734 O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://h**p://locator1.cdn.imagesrvr...rInstallDE.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing) O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 9367 bytes Wäre echt dankbar! Gruß King Pin PS: Bin kein so PC-Experte, d.h. nicht nur Fachwörter bitte ;) DANKE! |
Hallo und :hallo: Arbeite diese Liste ab: 1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code: C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLLPoste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]Code: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.bearshare.com/de/3.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. 4.) Deaktiviere den Guard deines Virenscanners. 5.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten. 6.) SuperAntiSpyware runterladen, starten und Log posten. 7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe Editiere die Links und privaten Infos, s. http://www.trojaner-board.de/22770-a...log-files.html 8.) Aktiviere den Guard deines Virenscanners. ciao, andreas |
Hallo erstmal vielen Dank für deine Hilfe! Habe alle Schritte durchgeführt, aber der Text war zu lang, musste ihn deshalb in 3 Teile unterteilen! Hoffe das stört nicht! Hier gehts los: Zu Schritt 1) Hier die erste Datei (C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL): Code: Datei MGSBAR.DLL empfangen 2009.01.11 15:27:04 (CET)Hier hatte ich etwas Probleme! Den Pfad den du angeben hattest, hat es nicht gefunden...habe jetzt dann manuell nach der Datei gesucht! Wobei ich keine "MW1HEL~1.EXE" gefunden habe! Habe dann das ähnlichste genommen und zwar war dies: MW1Helper.ini ! Weiß das dies keine Exe ist aber da gab es sonst nicht wirklich was besseres und auch nichts auf was der Name sonst passen würde! Hier das Ergebnis der Analyse: Code: Datei MW1Helper.ini empfangen 2009.01.11 15:35:13 (CET)Jetzt kommt Datei Nr. 3 (c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\roafa.exe): Hier hatte ich wieder das Problem, dass der Pfad nicht gefunden wurde (Ich verstehe nicht warum!), alle Dateien werden angezeigt! Auch die Versteckten, aber eine roafa.exe gibt es einfach nicht! Dort in dem Pfad (C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten) gab es nur eine exe: eomuu --> diese hab ich nun jetzt auch für die Überprüfung verwendet: Hier das Ergebniss der Analyse: Code: Antivirus Version letzte aktualisierung ErgebnisPfad wieder nicht gefunden! -.- Hier hab es in dem Ordner "C:\Programme\Gemeinsame Dateien" kein Ordner GMT! Deshalb wusste ich nicht was ich hier überprüfen sollte! |
Immer noch zu Schritt 1) Deshalb mache ich jetzt einfach mit Datei Nr.5 (C:\WINDOWS\System32\shdocvw.dll) weiter: Diesen Pfad findet es zum Glück wieder! Ergebnis der Analyse: Code: Datei shdocvw.dll empfangen 2009.01.11 15:49:22 (CET)Schritt 2) ausgeführt! --> O4 - HKCU\..\Run: [roafa] "c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\roafa.exe" roafa gab es nicht! Sondern hieß dies wieder nicht roafa sondern wieder eomuu! Dann hab ich dies dafür fix gechecked! Schritt 3) ausgeführt! Schritt 4) ausgeführt! Schritt 5) Blacklight: Konnte da iwie kein Logfile kopieren oder sowas! Aber es kam: Hidden Items found: 0 ...d.h. hat wohl nichts gefunden ;) Malwarebytes Antimalware: Code: Malwarebytes' Anti-Malware 1.32 |
Schritt 6) Superantispyware: Code: SUPERAntiSpyware Scan LogCode: Logfile of Trend Micro HijackThis v2.0.2So habe nun alle Schritte gemacht! Nochmal vielen Dank für deine Hilfe! Bin dankbar für jede weitere Hilfe! Hoffe habe es nicht so schlecht gemacht, bin nämlich wie gesagt, kein so PC-Experte! Auf eine baldige Antwort freut sich King Pin |
Fixen kannst du noch: Code: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://resultsmaster.com/SmartOffers/Services/resultsmaster/ResultsMasterHomeLef tPane.htmScheint dem Rechner wieder besser zu gehen. ciao, andreas |
ok hab ich gemacht! Super, danke nochmal! Wobei dir Programme kann ich eig. drauf lassen, oder? sind doch bestimmt nützlich oder? Und schützen doch auch vor neuen Viren, Würmern oder Trojanern oder? gruß King Pin |
Zitat:
Code: Und schützen doch auch vor neuen Viren, Würmern oder Trojanern oder?Lies mal hier: Homepage von Malte J. Wetz So und nur so sieht ein wirksamer Schutz aus. Du kannst dir 100 Programme installieren, die von sich behaupten, etwas mit Sicherheit zu tun zu haben. Schützen können sie dich nicht, das musst du selbst tun. ciao, andreas |
ok, danke auch für die tipps :) Hast mir echt geholfen :) PS: bisher öffnet sich nichts mehr von alleine! Also sieht so aus als hat alles geklappt :) lg King Pin |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:20 Uhr. |
Copyright ©2000-2024, Trojaner-Board