iexplorer öffnet sich von allein mit warnfenster "Anweisung "0x77bd19ef" verweist..

teekay · 06.04.2010, 08:56

Hallo an alle,

ich habe folgende Probleme:

Da ich eigentlich ausschließlich mit Mozilla Firefox arbeite überrascht mich mein rechner seit neustem damit, dass sich der internet explorer von alleine öffnet.
Dabei zeigt er entweder irgendwelche werbe oder such-seiten an oder er öffnet sich mit einer leeren seite und einem fenster mit folgender Mitteilung.

"Die Anweisung "0x77bd19ef" verweist auf den Speicher "0x77bd19ef". Der Vorgang "read" konnte nicht ausgeführt werden." mit den Buttons "OK" zum beenden oder "schließen" zum debuggen.

des weiteren stürzt firefox in regelmäßigen zuständen ab. habe irgendwie sogar das gefühl das er das explizit macht wenn ich das problem im internet google. vor allem passiert es wenn ich mein gmx account öffnen will oder auch bei der anmeldung hier für das board. kann aber auch sein das ich mir das einbilde...

Außerdem startet googlechrome nicht mehr. wenn ich es starten will öffnet sich stattdessen wieder mal der iexplorer. hab das gefühl mein rechner verarscht mich...

wie dem auch sei. hab das programm office scan laufen lassen und er hat nichts gefunden. wäre froh wenn mir jemand weiterhelfen kann. habe extra mal HijackThis installiert und folgendes log-file hervorgezaubert:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:03:32, on 05.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\trcboot.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Java\jre6\bin\jqs.exe
D:\programme\IBM\Lotus\Notes\nsd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft LifeCam\MSCamS32.exe
D:\programme\IBM\Lotus\Notes\ntmulti.exe
C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\YHBD84.EXE
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WEBROUTE\WrMonitor.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Trend Micro\OfficeScan Client\Pccntmon.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\AVUSPRG\HARDCOPY\hardcopy.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\avusprg\python22\python.exe
C:\WINDOWS\system32\cmd.exe
C:\AVUS\EXEDLL\AVS.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
C:\WINDOWS\Bzexaa.exe
C:\DOKUME~1\Agentur\LOKALE~1\Temp\Bhr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Cedros WebRoute Monitor] "C:\WEBROUTE\WrMonitor.exe" -s
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\Pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [YVIBBBHA8C] C:\DOKUME~1\Agentur\LOKALE~1\Temp\Bhr.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10b.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Hardcopy.LNK = C:\AVUSPRG\HARDCOPY\hardcopy.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Hardcopy.LNK = C:\AVUSPRG\HARDCOPY\hardcopy.exe (User 'Default user')
O4 - Startup: Hardcopy.LNK = C:\AVUSPRG\HARDCOPY\hardcopy.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{473207EC-E786-459A-86C2-ED59BB0399E8}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{B201ED74-0F7A-4C69-8E5D-C9AA9438FDD1}: NameServer = 195.50.140.114
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = mecklenburgische.de
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: SearchList = mecklenburgische.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = mecklenburgische.de
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Cedros WebRoute for Windows (CedrosWebroute) - Cedros Ges. für Datenverarbeitung mbH - C:\WEBROUTE\_webrCom.exe
O23 - Service: IBM CICS Universal Client (CICSClient) - Unknown owner - c:\avusprg\cicscli\BIN\CCLSERV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Update Service (gupdate1c9f346338562f0) (gupdate1c9f346338562f0) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lotus Notes-Diagnose (Lotus Notes Diagnostics) - IBM - D:\programme\IBM\Lotus\Notes\nsd.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - D:\programme\IBM\Lotus\Notes\ntmulti.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: PostgreSQL Database Server 8.2 (pgsql-8.2) - PostgreSQL Global Development Group - C:\programme\postgresql\8.2\bin\pg_ctl.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Programme\SigmaTel\C-Major Audio\WDM\StacSV.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: TrcBoot - Unknown owner - C:\WINDOWS\System32\drivers\trcboot.exe
O23 - Service: winvnc - UltraVNC - C:\AVUSPRG\Fernwartung\UltraVNC\winvnc.exe

--
End of file - 9448 bytes

teekay · 06.04.2010, 09:24

jetzt hab ich ne meldung von office-scan:
trojaner gefunden: name troj_renos.smd (in c:\windows\system32\sshnas.dll
kann nicht in quarantäne verschoben bzw. gelöscht werden...
HILFE WAS TUN???

cosinus · 06.04.2010, 09:52

Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Falls Du Probleme mit Malwarebytes hast (startet nicht, Updates laden nicht etc.), das hier beachten > http://www.trojaner-board.de/82699-m...tet-nicht.html

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Falls RSIT nicht startet: im Kompatibilitätsmodus ausführen (Rechtsklick auf RSIT.exe, Reiter Kompatibilität) => Windows XP einstellen und ausführen

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

teekay · 06.04.2010, 11:23

Konnte das Problem selbst beheben!!! danke trotzdem ;-)

cosinus · 06.04.2010, 11:51

Toll! Da Du genau beschrieben hast wie genau, kann das auch jeder nachvollziehen!

teekay · 07.04.2010, 08:21

ja sorry, im prinzip gibts nichts großartiges zu erzählen. da es sich um mein firmen laptop gehandelt hat und ich in regelmäßigen abständen komplettsicherungen durchführe, habe ich eigentlich nur ne sicherung von vor 3 wochen zurückgeladen. und jetzt scheint wieder alles i.O.. keine fehler und abstürze mehr und die datei wo sich der trojaner drinn versteckt hielt gibts auch nicht mehr...

cosinus · 07.04.2010, 08:40

Siehste, das kann man ja nicht wissen, wenn Du es nicht schreibst...

teekay · 07.04.2010, 15:07

ja war ein wenig unaufmerksam von mir. beim nächsten mal gelobe ich besserung.

FAZIT: regelmäßige komplettsicherungen sind gold wert!!!

06.04.2010, 11:51	#5
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	iexplorer öffnet sich von allein mit warnfenster "Anweisung "0x77bd19ef" verweist.. Toll! Da Du genau beschrieben hast wie genau, kann das auch jeder nachvollziehen! __________________ Logfiles bitte immer in CODE-Tags posten

07.04.2010, 08:40	#7
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	iexplorer öffnet sich von allein mit warnfenster "Anweisung "0x77bd19ef" verweist.. Siehste, das kann man ja nicht wissen, wenn Du es nicht schreibst... __________________ Logfiles bitte immer in CODE-Tags posten

iexplorer öffnet sich von allein mit warnfenster "Anweisung "0x77bd19ef" verweist..

Log-Analyse und Auswertung: iexplorer öffnet sich von allein mit warnfenster "Anweisung "0x77bd19ef" verweist..