Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Outlook Express öffnet sich immer wieder von selbst

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 14.03.2005, 18:18   #1
Skatty
 
Outlook Express öffnet sich immer wieder von selbst - Standard

Outlook Express öffnet sich immer wieder von selbst



Ok, ich kann leider nicht viel schreiben, da outlook sich ständig in den vordergrund drängt.
werde nun erstma rebooten.
thx

Logfile of HijackThis v1.99.1
Scan saved at 18:14:15, on 14.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Tools - Brenner & CD\Daemon Tools\daemon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Tools - Performance & Security\AntiVir\AVWUPSRV.EXE
D:\Tools - Performance & Security\Process Explorer\procexp.exe
C:\WINDOWS\system32\devldr32.exe
D:\Tools - Performance & Security\AntiVir\AVGUARD.EXE
D:\Tools - Performance & Security\AntiVir\AVGNT.EXE
D:\Tools - Performance & Security\AntiVir\AVWIN.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
G:\Downloads\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1
O1 - Hosts: 127.0.0.3 www.greg-tut.com
O1 - Hosts: 127.0.0.3 nylonsexy.com
O1 - Hosts: 127.0.0.3 www.nylonsexy.com
O1 - Hosts: 127.0.0.3 vparivalka.com
O1 - Hosts: 127.0.0.3 www.vparivalka.comtoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O1 - Hosts: 127.0.0.3 www.awmcash.biz
O1 - Hosts: 127.0.0.3 awmcash.biz
O1 - Hosts: 127.0.0.3 buldog-stats.com
O1 - Hosts: 127.0.0.3 www.buldog-stats.com
O1 - Hosts: 127.0.0.3 fregat.drocherway.com
O1 - Hosts: 127.0.0.3 slutmania.biz
O1 - Hosts: 127.0.0.3 www.slutmania.biz
O1 - Hosts: 127.0.0.3 toolbarpartner.com
O1 - Hosts: 127.0.0.3 www.toolbarpartner.com
O1 - Hosts: 127.0.0.3 www.megapornix.com
O1 - Hosts: 127.0.0.3 megapornix.com
O1 - Hosts: 127.0.0.3 www.sp2fucked.biz
O1 - Hosts: 127.0.0.3 sp2fucked.biz
O1 - Hosts: 127.0.0.3 greg-tut.com
O1 - Hosts: http://213.159.117.133/dkprogs/hosts.txt
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Tools - Media\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {36F7327B-E046-06E6-D50B-61550FA02A1E} - C:\WINDOWS\System32\gmupgy.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\TO992D~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Tools - Brenner & CD\Daemon Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Norton Updater] C:\windows\NortonUpdate.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [Microsoft--Updates] sxvhost.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Download with NetPumper - D:\Tools - Leecher\NetPumper\AddUrl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\TO3C74~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\TO3C74~1\ICQ\ICQ.exe
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\rsvpsp.dll' missing
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 67.19.178.84
O15 - Trusted IP range: 67.19.178.84 (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1110820277656
O16 - DPF: {65F302EC-BB5B-099B-6306-611A49E10FE7} - http://66.117.37.5/1/rdgDE298.exe
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/de/wowbeta/Si.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} - http://213.159.117.133/tb/loader2.ocx
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - http://www.globalphon.com/dialer/int...onale_ver4.CAB
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - http://advnt01.com/dialer/internazionale_ver10.CAB
O16 - DPF: {FFCEABDA-C04E-7F4A-E9B6-DFA72B2F49FB} - http://213.200.210.10/dl/101/DE648_1020.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0BA7A11A-B4F8-4596-8F94-DBDCB0504C8D}: NameServer = 192.168.0.1
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Tools - Performance & Security\AntiVir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Tools - Performance & Security\AntiVir\AVWUPSRV.EXE

Alt 14.03.2005, 18:28   #2
Skatty
 
Outlook Express öffnet sich immer wieder von selbst - Standard

Outlook Express öffnet sich immer wieder von selbst



eieiei, das sieht ja echt böse aus...

also, nach dem neustart öffnet sich wenigstens der Outlook Express nimmer (habs ausm msconfig genommen) und ich kann vernünftig schreiben, da der sich nicht nach jedem getippten buchstaben in den vordergrund drängt *grml*

also, ich war jetzt praktisch 3 monate offline, hab grad DSL und zack, alles im eimer
während dem zocken öffnet sich urplötzlich der OE... ich frag mich was los ist, schließe ihn... er öffnet sich wieder! und wieder und wieder bis er ca. 50 mal offen ist. Nach nem reboot immer noch die selbe chose.

Tja, nun hab ich erstma AV Personal gesaugt und drüberlaufen lassen, es hat auch locker 66 würmer, viren und trojaner gefunden und gekillt.

Aber da ist leider noch so einiges mehr, dass ich nicht so leicht wegkriege fürchte ich.

Folgende Files entstehen z.B. sofort nach dem löschen wieder:
dumprep.exe
savedump.exe
devldr32.exe

Dummerweise finde ich die Quelle/Ursache für diese Würmer nicht, d.h. ich kann noch so viel löschen. Bringt ja alles nix, wenn die Dateien sich direkt darauf immer wieder selbst erstellen.

Als nächstes werd ich mal die ganzen Windows Updates + SP2 nachholen.

Leider blick ich auch mit dem Hijack This nich so ganz durch... was bedeutet was um genau zu sein... ich kann nur erkennen, dass da ne menge schrott drauf ist

Soviel zum nötigsten, ich hoffe ihr könnt mich etwas bei meiner Windowsbereinigung etwas unterstützen.

MfG & Thx,
Skatty
__________________


Alt 14.03.2005, 22:31   #3
dartus
 
Outlook Express öffnet sich immer wieder von selbst - Standard

Outlook Express öffnet sich immer wieder von selbst



Hallo Skatty,

er wäre nett, wenn Du folgende Dateien:

C:\windows\NortonUpdate.exe
C:\windows\sxvhost.exe oder C:\windows\system32\sxvchost.exe

hier uploaden würdest:

http://www.malwareupload.com

Erläuterungen

Desweiteren lass diese Datein hier online-scannen:

http://virusscan.jotti.org

Teile das jeweilige Ergebnis bitte mit.

Deine Probleme liegen in erster Linie an Deinem nicht aktuelle Betriebsystem.
An Deiner Stelle würde ich nach dem Befall, den Du schilderst neu aufsetzen.
Zumal einiges daraufhin deutet, dass da min. ein aktiver Backdoor in Deinem System ist.

Hier eine erstklasige Anleitung: http://www.trojaner-board.de/showthread.php?t=12154

dartus
__________________

Geändert von dartus (14.03.2005 um 22:48 Uhr)

Alt 15.03.2005, 16:12   #4
Skatty
 
Outlook Express öffnet sich immer wieder von selbst - Standard

Outlook Express öffnet sich immer wieder von selbst



erstmal danke dartus für deine hilfe.

alle 3 von dir genannten dateien, also
C:\windows\NortonUpdate.exe
C:\windows\sxvhost.exe
C:\windows\system32\sxvchost.exe
scheinen lediglich datenmüll in der registry zu sein, denn diese dateien existiert nicht (mehr) in den verzeichnissen.

hab aber mal die folgenden files hochgeladen:

bei jotti kam folgende meldung:
File: dumprep.exe
File: savedump.exe
File: devldr32.exe
Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)

--------------------------------
hatte ohnehin vor, mein system neu aufzusetzen, sobald ich ne registrierungsfrie xp version hab... aber kann noch n weilchen dauern und solang hoffe ich, dass ich halbwegs sicher bin ^^
aber dann werd ich auf jeden fall die anleitung verwenden *g*

krieg ich ne backdoor insofern auch dicht bzw. den backdoorexploit vom sys runter, ohne neu aufzusetzen? wenn man so will, als übergangslösung?

Geändert von Skatty (15.03.2005 um 16:18 Uhr)

Alt 15.03.2005, 16:43   #5
dartus
 
Outlook Express öffnet sich immer wieder von selbst - Standard

Outlook Express öffnet sich immer wieder von selbst



Hallo Skatty,

wenn diese beiden Dateien Datenmüll wäre, würden sie nicht in Deinm Log auftauchen. ( "C:\windows\sxvhost.exe" oder "C:\windows\system32\sxvchost.exe"
Hast Du das so eingestellt:

Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "Häckchen weg" und "Alle Dateien und Ordner Anzeigen" anklicken

hier was zum Thema Backdoor:

http://www.mathematik.uni-marburg.de...ompromise.html
http://www.trojaner-board.com/showthread.php?t=14669
http://www.heise.de/newsticker/meldung/57030

dartus


Alt 17.03.2005, 14:03   #6
Skatty
 
Outlook Express öffnet sich immer wieder von selbst - Standard

Outlook Express öffnet sich immer wieder von selbst



was ich meinte ist, dass diese 3 dateien doch nurnoch registry einträge sind.

ich bin sicher kein neuling und ja, meine ordneroptionen sind korrekt eingestellt (alle dateien, keine ausblenden usw.)

was mich viel mehr stutzig macht sind eigentlich die ganzen
O1 - Hosts: 127.0.0.3 ...
und
O15 - Trusted Zone: ...

da ich keine der dort aufgeführten seiten jemals besucht hab. welche bedeutung haben die denn?

btw. sind im aktuellen log alle O1 Hosts verschwunden, bis auf:
O1 - Hosts: http://213.159.117.133/dkprogs/hosts.txt


thx für die links zum thema Backdoor

Alt 17.03.2005, 22:02   #7
chaosman
 
Outlook Express öffnet sich immer wieder von selbst - Standard

Outlook Express öffnet sich immer wieder von selbst



@Skatty
lade escan
download
anleitung
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."


chaosman
__________________
Bonus vir semper tiro

Antwort

Themen zu Outlook Express öffnet sich immer wieder von selbst
.com, acrobat, adobe, antivir, antivir update, bho, button, dateien, explorer, file missing, hijack, hijackthis, hotkey, icq, immer wieder, internet, internet explorer, microsoft, outlook express, performance, programme, security, software, start, sun java, system, system32, von selbst, windows, windows xp, öffnet




Ähnliche Themen: Outlook Express öffnet sich immer wieder von selbst


  1. WIN7: PUA/Installmonetizer installiert sich nach dem Löschen immer wieder selbst
    Log-Analyse und Auswertung - 25.07.2015 (12)
  2. Download Protect 2.2.5 installiert sich immer wieder selbst in Firefox
    Log-Analyse und Auswertung - 16.08.2014 (9)
  3. Windows 7 Google Chrome Adware (fun2save) installiert sich immer wieder selbst
    Log-Analyse und Auswertung - 08.01.2014 (9)
  4. McAfee Echtzeit Schutz deaktiviert sich immer wieder selbst
    Antiviren-, Firewall- und andere Schutzprogramme - 19.12.2013 (1)
  5. Claro als automatisches Suchprogramm, installiert sich immer wieder selbst
    Log-Analyse und Auswertung - 12.03.2013 (26)
  6. iexplorer.exe öffnet sich immer wieder
    Log-Analyse und Auswertung - 24.07.2012 (1)
  7. Outlook Express/Office 2007 öffnet sich als von alleine
    Log-Analyse und Auswertung - 01.09.2011 (33)
  8. IE öffnet sich selbst, skype erscheint immer im vordergrund
    Log-Analyse und Auswertung - 29.06.2010 (1)
  9. Google öffnet falsche Seiten, Spybot öffnet sich nicht und PC geht immer wieder aus
    Plagegeister aller Art und deren Bekämpfung - 26.08.2009 (8)
  10. IE öffnet sich immer von selbst
    Plagegeister aller Art und deren Bekämpfung - 23.02.2009 (1)
  11. Media Player öffnet sich selbstständig immer und immer wieder
    Log-Analyse und Auswertung - 30.10.2008 (0)
  12. rapidshare.com öffnet sich immer von selbst
    Mülltonne - 15.10.2008 (0)
  13. Seite öffnet sich immer wieder!
    Log-Analyse und Auswertung - 02.08.2007 (5)
  14. Outlook öffnet sich unwillkürlich von selbst
    Plagegeister aller Art und deren Bekämpfung - 22.05.2007 (5)
  15. Hilfe mein Outlook express macht sich selbstständig
    Log-Analyse und Auswertung - 09.05.2005 (9)
  16. Microsoft Outlook und Outlook Express deinstallieren
    Alles rund um Windows - 01.11.2003 (5)
  17. Trojaner installiert sich immer wieder selbst
    Archiv - 27.01.2003 (14)

Zum Thema Outlook Express öffnet sich immer wieder von selbst - Ok, ich kann leider nicht viel schreiben, da outlook sich ständig in den vordergrund drängt. werde nun erstma rebooten. thx Logfile of HijackThis v1.99.1 Scan saved at 18:14:15, on 14.03.2005 - Outlook Express öffnet sich immer wieder von selbst...
Archiv
Du betrachtest: Outlook Express öffnet sich immer wieder von selbst auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.