IE Öffnet sich plötzlich ungewollt

KryptaKleptomane · 28.12.2004, 22:07

Mein Internet Explorer Öffnet zufällig und zu jeder Zei auch wenn ich es nicht will fenster dieser 'Anbieter':

adserver.sharewareonline
eblocs
mediabuy-nic.cjt1

Mein HijackThis Sagt:

Logfile of HijackThis v1.99.0
Scan saved at 21:59:27, on 28.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
E:\xampp\apache\bin\Apache.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
E:\xampp\FileZillaFTP\FileZillaServer.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
E:\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Steganos AntiDialer 7\guard.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Steganos Personal Firewall 7\KAVPF.exe
E:\xampp\apache\bin\Apache.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Marius\LOKALE~1\Temp\Rar$EX00.150\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.123.254/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://192.168.123.254/
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TimeSync] C:\PROGRA~1\TimeSync\TimeSync.exe /t
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Steganos AntiDialer 7] "C:\Programme\Steganos AntiDialer 7\guard.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Steganos Personal Firewall 7.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Apache2 - Apache Software Foundation - E:\xampp\apache\bin\Apache.exe
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: FileZilla Server FTP server - Unknown - E:\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: mysql - Unknown - E:\xampp\mysql\bin\mysqld-nt.exe

cronos · 28.12.2004, 22:34

Lade dir das Service Pack 2 runter und installiere es.
Update anschliessend dein System.

Fixxe mit HijackThis folgende Einträge bei deaktiviereter Systemwiederherstellung im abgesicherten Modus:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.123.254/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://192.168.123.254/
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

Poste anschliessend einen neuen Log.
Nicht vergessen am Ende die Sytemwiederherstellung wieder anzuschalten.

KryptaKleptomane · 28.12.2004, 23:07

Jetzt habe ich geupdatet
und den abgesicherten modus
und mit deaktivierter systemwiederherstellung die
Beasgten einträge gefixt

Der R0 Eintrag ist weg
der R1 Eintrag ist weg

Die O1 Einträge sind aber noch da,
Obwohl ich sie gefixt hatte

Nun ich hoffe alles richtig gemacht zu haben.

cacatoa · 28.12.2004, 23:10

Glaub ichnicht, daß du SP 2 in der kurzen Zeit installiert hast; wahrscheinlich nur den Installer runtergeladen; jetzt mußt du es installieren; das dauert länger als 30 minuten.
Sorry für die Einmischung...
cacatoa

Edit: Da warst Du ja wirklich schnell; nehme alles zurück!

KryptaKleptomane · 28.12.2004, 23:10

Hier die Log:

Logfile of HijackThis v1.99.0
Scan saved at 23:09:55, on 28.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Steganos AntiDialer 7\guard.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Steganos Personal Firewall 7\KAVPF.exe
C:\Programme\AVPersonal\AVGUARD.EXE
E:\xampp\apache\bin\Apache.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
E:\xampp\FileZillaFTP\FileZillaServer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
E:\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\svchost.exe
E:\xampp\apache\bin\Apache.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Marius\LOKALE~1\Temp\Rar$EX00.912\HijackThis.exe

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TimeSync] C:\PROGRA~1\TimeSync\TimeSync.exe /t
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Steganos AntiDialer 7] "C:\Programme\Steganos AntiDialer 7\guard.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Steganos Personal Firewall 7.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Apache2 - Apache Software Foundation - E:\xampp\apache\bin\Apache.exe
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: FileZilla Server FTP server - Unknown - E:\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: mysql - Unknown - E:\xampp\mysql\bin\mysqld-nt.exe

Shadowdance · 28.12.2004, 23:42

@ KryptaKleptomane

lade bitte den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht. Das wird manuell gemacht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es.

SD

KryptaKleptomane · 29.12.2004, 20:19

So der Scann hat ce 4 Stunden gedauert hoffe es lohnt sich hier Die infizierten Dateien sind einige:

Wed Dec 29 10:53:33 2004 => File C:\WINDOWS\g1.exe infected by "Trojan.Win32.Searex" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:53:33 2004 => File C:\WINDOWS\iconw.exe infected by "not-a-virus:AdWare.Zestyfind" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:53:43 2004 => File C:\WINDOWS\System32\akcore.dll infected by "not-a-virus:AdWare.Coreak" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:53:47 2004 => File C:\WINDOWS\System32\azau0559e.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:53:51 2004 => File C:\WINDOWS\System32\ckdial32.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:54:00 2004 => File C:\WINDOWS\System32\dBdpmesh.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:54:10 2004 => File C:\WINDOWS\System32\en2ql1f51.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:54:10 2004 => File C:\WINDOWS\System32\en62l1jo1.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:54:10 2004 => File C:\WINDOWS\System32\enpsl1771.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:54:17 2004 => File C:\WINDOWS\System32\hr0s05d7e.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:54:17 2004 => File C:\WINDOWS\System32\hr2q05f5e.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:54:17 2004 => File C:\WINDOWS\System32\hr4405hqe.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:54:17 2004 => File C:\WINDOWS\System32\hrnu0559e.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:54:20 2004 => File C:\WINDOWS\System32\imetpp.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:54:25 2004 => File C:\WINDOWS\System32\ir46l5hs1.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:54:28 2004 => File C:\WINDOWS\System32\k6jslg1716.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:54:31 2004 => File C:\WINDOWS\System32\khduk.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:54:34 2004 => File C:\WINDOWS\System32\lv4209hoe.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:54:41 2004 => File C:\WINDOWS\System32\MQIMRT.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:54:56 2004 => File C:\WINDOWS\System32\MVJTER35.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:55:03 2004 => File C:\WINDOWS\System32\o666lgjs16o6.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:55:07 2004 => File C:\WINDOWS\System32\ozbcint.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:55:12 2004 => File C:\WINDOWS\System32\r0p80a7ued.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:55:18 2004 => File C:\WINDOWS\System32\s6pulg7916.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:55:42 2004 => File C:\WINDOWS\System32\VX6DE.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:55:48 2004 => File C:\WINDOWS\System32\wknmm.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:55:53 2004 => File C:\WINDOWS\System32\wonetmgr.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:56:00 2004 => File C:\DOKUME~1\Marius\LOKALE~1\Temp\akcore.dll infected by "not-a-virus:AdWare.Coreak" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:56:01 2004 => File C:\DOKUME~1\Marius\LOKALE~1\Temp\B.tmp infected by "Trojan.Win32.HideProc.a" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:56:01 2004 => File C:\DOKUME~1\Marius\LOKALE~1\Temp\bar.exe infected by "not-a-virus:AdWare.ToolBar.IeSearchBar" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:56:02 2004 => File C:\DOKUME~1\Marius\LOKALE~1\Temp\bw2.exe infected by "Trojan-Dropper.Win32.Small.of" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:56:11 2004 => File C:\DOKUME~1\Marius\LOKALE~1\Temp\ICD1.tmp\WinAdServX.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:56:11 2004 => File C:\DOKUME~1\Marius\LOKALE~1\Temp\ICD2.tmp\WinAdServX.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:56:46 2004 => File C:\DOKUME~1\Marius\LOKALE~1\Temp\nsdtmp09.dll infected by "not-a-virus:AdWare.MetaDirect.a" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:56:52 2004 => File C:\DOKUME~1\Marius\LOKALE~1\Temp\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:57:05 2004 => File C:\DOKUME~1\Marius\LOKALE~1\Temp\temp.fr782D infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 10:57:30 2004 => File C:\DOKUME~1\Marius\LOKALE~1\Temp\__unin__.exe infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:10:33 2004 => File C:\Dokumente und Einstellungen\Marius\Lokale Einstellungen\Temp\akcore.dll infected by "not-a-virus:AdWare.Coreak" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:10:34 2004 => File C:\Dokumente und Einstellungen\Marius\Lokale Einstellungen\Temp\B.tmp infected by "Trojan.Win32.HideProc.a" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:10:34 2004 => File C:\Dokumente und Einstellungen\Marius\Lokale Einstellungen\Temp\bar.exe infected by "not-a-virus:AdWare.ToolBar.IeSearchBar" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:10:35 2004 => File C:\Dokumente und Einstellungen\Marius\Lokale Einstellungen\Temp\bw2.exe infected by "Trojan-Dropper.Win32.Small.of" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:10:43 2004 => File C:\Dokumente und Einstellungen\Marius\Lokale Einstellungen\Temp\ICD1.tmp\WinAdServX.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:10:43 2004 => File C:\Dokumente und Einstellungen\Marius\Lokale Einstellungen\Temp\ICD2.tmp\WinAdServX.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:11:17 2004 => File C:\Dokumente und Einstellungen\Marius\Lokale Einstellungen\Temp\nsdtmp09.dll infected by "not-a-virus:AdWare.MetaDirect.a" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:11:23 2004 => File C:\Dokumente und Einstellungen\Marius\Lokale Einstellungen\Temp\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:11:35 2004 => File C:\Dokumente und Einstellungen\Marius\Lokale Einstellungen\Temp\temp.fr782D infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:11:58 2004 => File C:\Dokumente und Einstellungen\Marius\Lokale Einstellungen\Temp\__unin__.exe infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:37:50 2004 => File C:\WINDOWS\Downloaded Program Files\WinAdServX.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:39:32 2004 => File C:\WINDOWS\g1.exe infected by "Trojan.Win32.Searex" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:41:27 2004 => File C:\WINDOWS\iconw.exe infected by "not-a-virus:AdWare.Zestyfind" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:44:16 2004 => File C:\WINDOWS\system32\akcore.dll infected by "not-a-virus:AdWare.Coreak" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:44:22 2004 => File C:\WINDOWS\system32\azau0559e.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:44:29 2004 => File C:\WINDOWS\system32\ckdial32.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:47:02 2004 => File C:\WINDOWS\system32\dBdpmesh.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:52:13 2004 => File C:\WINDOWS\system32\en2ql1f51.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:52:13 2004 => File C:\WINDOWS\system32\en62l1jo1.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:52:13 2004 => File C:\WINDOWS\system32\enpsl1771.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:52:20 2004 => File C:\WINDOWS\system32\hr0s05d7e.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:52:20 2004 => File C:\WINDOWS\system32\hr2q05f5e.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:52:20 2004 => File C:\WINDOWS\system32\hr4405hqe.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:52:21 2004 => File C:\WINDOWS\system32\hrnu0559e.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

KryptaKleptomane · 29.12.2004, 20:20

Hier die Letzten Einträge mehr passten nicht in den Post

Wed Dec 29 11:52:24 2004 => File C:\WINDOWS\system32\imetpp.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:52:28 2004 => File C:\WINDOWS\system32\ir46l5hs1.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:52:31 2004 => File C:\WINDOWS\system32\k6jslg1716.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:52:34 2004 => File C:\WINDOWS\system32\khduk.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:52:37 2004 => File C:\WINDOWS\system32\lv4209hoe.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:52:45 2004 => File C:\WINDOWS\system32\MQIMRT.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:53:02 2004 => File C:\WINDOWS\system32\MVJTER35.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:53:09 2004 => File C:\WINDOWS\system32\o666lgjs16o6.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:53:19 2004 => File C:\WINDOWS\system32\ozbcint.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:53:25 2004 => File C:\WINDOWS\system32\r0p80a7ued.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:53:34 2004 => File C:\WINDOWS\system32\s6pulg7916.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:54:06 2004 => File C:\WINDOWS\system32\VX6DE.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:54:21 2004 => File C:\WINDOWS\system32\wknmm.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:54:26 2004 => File C:\WINDOWS\system32\wonetmgr.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Wed Dec 29 11:54:30 2004 => File C:\WINDOWS\Temp\bw2.exe infected by "not-a-virus:AdWare.Zestyfind" Virus. Action Taken: No Action Taken.

chaosman · 29.12.2004, 20:41

@KryptaKleptomane
lade dir clearprog bei clearprog.de
programm starten, alle häkchen bei windows und IE setzen, löschen.
dann sind alle Tempfiles schon mal weg.
danach in den abgesicherten modus wechseln und manuell alle einträge mit
AdWare löschen.
diese datei auch manuell löschen
C:\WINDOWS\g1.exe

danach neu starten, ein neues HJT logfile posten
chaosman

KryptaKleptomane · 29.12.2004, 21:36

Hier die Neue Logfile

Logfile of HijackThis v1.99.0
Scan saved at 21:32:34, on 29.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
E:\xampp\apache\bin\Apache.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
E:\xampp\FileZillaFTP\FileZillaServer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
E:\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Steganos AntiDialer 7\guard.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Steganos Personal Firewall 7\KAVPF.exe
E:\xampp\apache\bin\Apache.exe
C:\DOKUME~1\Marius\LOKALE~1\Temp\Rar$EX00.838\HijackThis.exe

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TimeSync] C:\PROGRA~1\TimeSync\TimeSync.exe /t
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Steganos AntiDialer 7] "C:\Programme\Steganos AntiDialer 7\guard.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Steganos Personal Firewall 7.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Apache2 - Apache Software Foundation - E:\xampp\apache\bin\Apache.exe
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: FileZilla Server FTP server - Unknown - E:\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: mysql - Unknown - E:\xampp\mysql\bin\mysqld-nt.exe

Shadowdance · 29.12.2004, 23:37

@ KryptaKleptomane

boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch

boote in den normalen Modus. Aktiviere die Systemwiederherstellung.

SD

Cidre · 29.12.2004, 23:51

@ KryptaKleptomane

Probiers mal mit der Vorgehensweise von Marc und halte uns bei jedem Schritt auf dem Laufenden.

KryptaKleptomane · 30.12.2004, 10:01

So habe nocheinmal im Abgesichertem Modus Mit Abgestellter Systemwiederherstellung die Einträge Gefixt un sie sind Weg

Endlich habe ich den Kampf mit den Lästigen Trojanern Geschafft, Hoffe ich mal.

Hier die Log

Logfile of HijackThis v1.99.0
Scan saved at 09:58:16, on 30.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\TimeSync\TimeSync.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Steganos AntiDialer 7\guard.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Steganos Personal Firewall 7\KAVPF.exe
C:\Programme\AVPersonal\AVGUARD.EXE
E:\xampp\apache\bin\Apache.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
E:\xampp\FileZillaFTP\FileZillaServer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
E:\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WinRAR\WinRAR.exe
E:\xampp\apache\bin\Apache.exe
C:\DOKUME~1\Marius\LOKALE~1\Temp\Rar$EX00.463\HijackThis.exe

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TimeSync] C:\PROGRA~1\TimeSync\TimeSync.exe /t
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Steganos AntiDialer 7] "C:\Programme\Steganos AntiDialer 7\guard.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Steganos Personal Firewall 7.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Apache2 - Apache Software Foundation - E:\xampp\apache\bin\Apache.exe
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: FileZilla Server FTP server - Unknown - E:\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: mysql - Unknown - E:\xampp\mysql\bin\mysqld-nt.exe

jabberwoky · 30.12.2004, 18:50

auch von mir dank an @cidre. :aplaus:

hatte selbiges prob und konnte es dank deinem link "marc" beseitigen. habe es schritt für schritt wie marc geschrieben hat durchgeführt.

thx

jabberwoky

Cidre · 30.12.2004, 20:24

@ jabberwoky

Schön, das es geklappt hat.

29.12.2004, 23:51	#12
Cidre Administrator, a.D.	IE Öffnet sich plötzlich ungewollt @ KryptaKleptomane Probiers mal mit der Vorgehensweise von Marc und halte uns bei jedem Schritt auf dem Laufenden. __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

30.12.2004, 20:24	#15
Cidre Administrator, a.D.	IE Öffnet sich plötzlich ungewollt @ jabberwoky Schön, das es geklappt hat. __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

IE Öffnet sich plötzlich ungewollt

Log-Analyse und Auswertung: IE Öffnet sich plötzlich ungewollt