Hallo zusammen,
ich habe folgendes Problem und hab bisher im Netz leider noch keine weiterhelfende Erklärung hierzu gefunden:
Wenn ich opera oder chrome starte, öffnet sich der Internet Explorer 6. Hierbei ist es egal, ob ich die Browser über die Verknüpfung starte oder direkt die .exe im jeweiligen Ordner. Seltsam ist auch, dass der IE6 öffnet, wobei ich im Zuge der Problemfindung, diesen deinstalliert und den IE8 installiert habe. (Den IE habe ich nie verwendet, daher war/ist er noch in der 6er Version).
Viele die dieses Problem (z.B. hxxp://hannes-schurig.de/24/08/2009/statt-beliebiger-browser-startet-immer-der-ie-mit-seltsamen-pfad/) ebenfalls haben, berichten davon, dass der IE mit folgender Adresse öffnet: z.B. hxxp://%22c/Programme/Opera/opera.exe Das ist bei mir nicht der Fall.
Ebenfalls finde ich in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options keine Einträge zu opera.exe oder chrome.exe. Häufiger habe ich gelesen, dass der Schlüssel userinit.exe auf einen Schädling hinweisen kann - bei mir hat der Debugger den Wert "C:\WINDOWS\system32\winp.exe"
Standardbrowser ist eigentlich Firefox, dennoch sind lokale HTML-Dateien auf meinem Rechner nun Chrome zugeordnet.
Neu-Installation der beiden Browser führte zu nichts. Scan mit Antivir, MalwareBytes und Spybot waren erfolgreich, siehe Logs. Die eben angesprochene userinit.exe ist auch dabei, taucht bei jedem MalwareBytes-Scan aber wieder auf.
Zeitgleich kam auch das Problem auf, dass teilweise Videos nicht angezeigt werden. Auf manchen Seiten werden Videos normal angezeigt, auf Youtube dagegen ist die Video-Fläche schwarz und Werbung und Schaltflächen haben eine absolut reduzierte Auflösung. Ton wird widergegeben.
Hat jemand eine Idee wobei es sich hierbei handelt bzw. wie ich die Probleme beheben kann? Und woher sowas überhaupt stammen kann? Antivir ist immer auf dem neusten Stand, Browser und Flash ebenfalls, TeaTimer läuft.
Viele Grüße,
coldfield
Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Datenbank Version: 5988
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
08.03.2011 13:00:17
mbam-log-2011-03-08 (13-00-17).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 155356
Laufzeit: 4 Minute(n), 20 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and
deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe (Security.Hijack) -> Quarantined
and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 8. März 2011 12:58
Es wird nach 2471649 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : PC-01
Versionsinformationen:
BUILD.DAT : 10.0.0.611 31824 Bytes 14.01.2011 13:28:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 09.12.2010 10:10:52
AVSCAN.DLL : 10.0.3.0 56168 Bytes 20.09.2010 17:55:19
LUKE.DLL : 10.0.3.2 104296 Bytes 09.12.2010 10:10:53
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 18:33:30
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 12:56:48
VBASE003.VDF : 7.11.3.1 2048 Bytes 09.02.2011 12:56:48
VBASE004.VDF : 7.11.3.2 2048 Bytes 09.02.2011 12:56:48
VBASE005.VDF : 7.11.3.3 2048 Bytes 09.02.2011 12:56:48
VBASE006.VDF : 7.11.3.4 2048 Bytes 09.02.2011 12:56:48
VBASE007.VDF : 7.11.3.5 2048 Bytes 09.02.2011 12:56:48
VBASE008.VDF : 7.11.3.6 2048 Bytes 09.02.2011 12:56:48
VBASE009.VDF : 7.11.3.7 2048 Bytes 09.02.2011 12:56:50
VBASE010.VDF : 7.11.3.8 2048 Bytes 09.02.2011 12:56:51
VBASE011.VDF : 7.11.3.9 2048 Bytes 09.02.2011 12:56:52
VBASE012.VDF : 7.11.3.10 2048 Bytes 09.02.2011 12:56:52
VBASE013.VDF : 7.11.3.59 157184 Bytes 14.02.2011 07:51:12
VBASE014.VDF : 7.11.3.97 120320 Bytes 16.02.2011 07:51:12
VBASE015.VDF : 7.11.3.148 128000 Bytes 19.02.2011 07:51:12
VBASE016.VDF : 7.11.3.183 140288 Bytes 22.02.2011 07:51:13
VBASE017.VDF : 7.11.3.216 124416 Bytes 24.02.2011 07:45:49
VBASE018.VDF : 7.11.3.251 159232 Bytes 28.02.2011 12:45:29
VBASE019.VDF : 7.11.4.33 148992 Bytes 02.03.2011 12:45:30
VBASE020.VDF : 7.11.4.73 150016 Bytes 06.03.2011 19:56:12
VBASE021.VDF : 7.11.4.74 2048 Bytes 06.03.2011 19:56:13
VBASE022.VDF : 7.11.4.75 2048 Bytes 06.03.2011 19:56:13
VBASE023.VDF : 7.11.4.76 2048 Bytes 06.03.2011 19:56:13
VBASE024.VDF : 7.11.4.77 2048 Bytes 06.03.2011 19:56:13
VBASE025.VDF : 7.11.4.78 2048 Bytes 06.03.2011 19:56:13
VBASE026.VDF : 7.11.4.79 2048 Bytes 06.03.2011 19:56:13
VBASE027.VDF : 7.11.4.80 2048 Bytes 06.03.2011 19:56:13
VBASE028.VDF : 7.11.4.81 2048 Bytes 06.03.2011 19:56:13
VBASE029.VDF : 7.11.4.82 2048 Bytes 06.03.2011 19:56:13
VBASE030.VDF : 7.11.4.83 2048 Bytes 06.03.2011 19:56:14
VBASE031.VDF : 7.11.4.105 115200 Bytes 08.03.2011 09:22:29
Engineversion : 8.2.4.180
AEVDF.DLL : 8.1.2.1 106868 Bytes 20.09.2010 17:55:19
AESCRIPT.DLL : 8.1.3.56 1261945 Bytes 08.03.2011 09:22:32
AESCN.DLL : 8.1.7.2 127349 Bytes 25.11.2010 16:07:29
AESBX.DLL : 8.1.3.2 254324 Bytes 25.11.2010 16:07:30
AERDL.DLL : 8.1.9.2 635252 Bytes 28.09.2010 21:14:11
AEPACK.DLL : 8.2.4.11 520566 Bytes 04.03.2011 12:45:31
AEOFFICE.DLL : 8.1.1.17 205177 Bytes 08.03.2011 09:22:32
AEHEUR.DLL : 8.1.2.83 3338613 Bytes 08.03.2011 09:22:31
AEHELP.DLL : 8.1.16.1 246134 Bytes 05.02.2011 15:03:11
AEGEN.DLL : 8.1.5.2 397683 Bytes 28.01.2011 07:49:37
AEEMU.DLL : 8.1.3.0 393589 Bytes 25.11.2010 16:07:25
AECORE.DLL : 8.1.19.2 196983 Bytes 28.01.2011 07:49:37
AEBB.DLL : 8.1.1.0 53618 Bytes 20.09.2010 17:55:18
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.3.2 53096 Bytes 08.11.2010 18:20:39
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 09.12.2010 10:10:52
AVARKT.DLL : 10.0.22.6 231784 Bytes 09.12.2010 10:10:51
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 08.11.2010 18:20:38
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir
Desktop\TEMP\AVGUARD_4db10a72\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Beginn des Suchlaufs: Dienstag, 8. März 2011 12:58
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VM_STI.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\WINDOWS\Temp\hlpfhlp.exe'
C:\WINDOWS\Temp\hlpfhlp.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/FooView.A
Beginne mit der Suche in 'C:\WINDOWS\Temp\srvcpack.exe'
C:\WINDOWS\Temp\srvcpack.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/FooView.A
Beginne mit der Suche in 'C:\WINDOWS\Temp\srvvwuser.exe'
C:\WINDOWS\Temp\srvvwuser.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/FooView.A
Beginne mit der Suche in 'C:\WINDOWS\Temp\videorsetup.exe'
C:\WINDOWS\Temp\videorsetup.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.bels
Beginne mit der Suche in 'C:\WINDOWS\Temp\windz.exe'
C:\WINDOWS\Temp\windz.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/FooView.A
Beginne mit der Desinfektion:
C:\WINDOWS\Temp\windz.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/FooView.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f9abf1f.qua' verschoben!
C:\WINDOWS\Temp\videorsetup.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.bels
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '573390b8.qua' verschoben!
C:\WINDOWS\Temp\srvvwuser.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/FooView.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '055aca49.qua' verschoben!
C:\WINDOWS\Temp\srvcpack.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/FooView.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '636d858b.qua' verschoben!
C:\WINDOWS\Temp\hlpfhlp.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/FooView.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '26e3a8af.qua' verschoben!
Ende des Suchlaufs: Dienstag, 8. März 2011 13:03
Benötigte Zeit: 00:00 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
37 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
32 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
5 Hinweise
Die Suchergebnisse werden an den Guard übermittelt.
Code:
Microsoft.WindowsSecurityCenter.AntiVirusOverride: [SBI $3604910C] Einstellungen (Registrierungsdatenbank-Änderung, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride
Microsoft.WindowsSecurityCenter.FirewallOverride: [SBI $0C94D702] Einstellungen (Registrierungsdatenbank-Änderung, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride
FastClick: Verfolgender Cookie (Internet Explorer: User) (Cookie, fixed)
Right Media: Verfolgender Cookie (Internet Explorer: User) (Cookie, fixed)
DoubleClick: Verfolgender Cookie (Internet Explorer: User) (Cookie, fixed)
--- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) ---
2009-01-26 blindman.exe (1.0.0.8)
2009-01-26 SDFiles.exe (1.6.1.7)
2009-01-26 SDMain.exe (1.0.0.6)
2009-01-26 SDShred.exe (1.0.2.5)
2009-01-26 SDUpdate.exe (1.6.0.12)
2009-01-26 SpybotSD.exe (1.6.2.46)
2009-03-05 TeaTimer.exe (1.6.6.32)
2010-01-20 unins000.exe (51.49.0.0)
2009-01-26 Update.exe (1.6.0.7)
2009-11-04 advcheck.dll (1.6.5.20)
2007-04-02 aports.dll (2.1.0.0)
2008-06-14 DelZip179.dll (1.79.11.1)
2009-01-26 SDHelper.dll (1.6.2.14)
2008-06-19 sqlite3.dll
2009-01-26 Tools.dll (2.1.6.10)
2009-01-16 UninsSrv.dll (1.0.0.0)
2009-10-08 Includes\Adware.sbi (*)
2010-01-19 Includes\AdwareC.sbi (*)
2009-01-22 Includes\Cookies.sbi (*)
2009-11-03 Includes\Dialer.sbi (*)
2010-01-19 Includes\DialerC.sbi (*)
2009-01-22 Includes\HeavyDuty.sbi (*)
2009-05-26 Includes\Hijackers.sbi (*)
2010-01-19 Includes\HijackersC.sbi (*)
2010-01-20 Includes\Keyloggers.sbi (*)
2010-01-19 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2010-01-19 Includes\Malware.sbi (*)
2010-01-19 Includes\MalwareC.sbi (*)
2009-03-25 Includes\PUPS.sbi (*)
2010-01-19 Includes\PUPSC.sbi (*)
2009-01-22 Includes\Revision.sbi (*)
2009-01-13 Includes\Security.sbi (*)
2010-01-19 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2009-11-03 Includes\Spyware.sbi (*)
2010-01-19 Includes\SpywareC.sbi (*)
2009-06-08 Includes\Tracks.uti
2009-12-08 Includes\Trojans.sbi (*)
2010-01-19 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll
