IE öffnet unzählige Fenster

tom9 · 04.11.2005, 20:32

Hallo,
während der Benutzung öffnet der Internet Explorer unzählige Fenster (zwischen 14 und 56 Fenster). Im Adressfeld steht dann folgende Adressmeldung: http://www7.logih.com/777/help.asp

Hier das HijackThis Logfile - DANKE im voraus für Unterstützung

Logfile of HijackThis v1.99.1
Scan saved at 20:18:58, on 04.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Iomega\AutoDisk\ADUserMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\OPLIMIT\ocrawr32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Besitzer.THOMAS-GSOCY888\Eigene Dateien\Anti-Viren-Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
F3 - REG:win.ini: load=C:\OPLIMIT\ocraware.exe
O2 - BHO: (no name) - {893fad3a-931e-4e53-b515-b1426d63799b} - C:\WINDOWS\system32\hp6B9A.tmp (file missing)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] c:\programme\iomega zip\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] c:\programme\iomega zip\DriveIcons\deskup.exe /IMGSTART
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{380BDB13-DFC2-4B7E-8262-2D1DD8FFA40B}: NameServer = 62.53.221.83 193.189.244.205
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Programme\Iomega\AutoDisk\ADService.exe

felix1 · 04.11.2005, 20:35

Folge mal der Anleitung von Cacatoa im Post 2:

http://www.trojaner-board.de/showthread.php?t=23237

tom9 · 04.11.2005, 22:16

Nochmals hallo,
bin der Anleitung von cacatoa im Post 2 gefolgt - folgende Ergebnisse:

1. webroot spyaudit
- Trojaner (Liste anzeigen)
(Liste schließen)
trojan-downloader-zlob
- Adware (Liste anzeigen)
(Liste schließen)
logih adware
spysheriff
security2k hijacker
popuper
- Adware-Cookies (Liste anzeigen)
(Liste schließen)
adultfriendfinder cookie

2. Ewido
---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 21:44:13, 04.11.2005
+ Report-Checksumme: FE1FB5B0

+ Scanergebnis:

C:\Dokumente und Einstellungen\Besitzer.THOMAS-GSOCY888\Cookies\besitzer@as1.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer.THOMAS-GSOCY888\Cookies\besitzer@atdmt[1].txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer.THOMAS-GSOCY888\Cookies\besitzer@cs.sexcounter[2].txt -> Spyware.Cookie.Sexcounter : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer.THOMAS-GSOCY888\Cookies\besitzer@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer.THOMAS-GSOCY888\Cookies\besitzer@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer.THOMAS-GSOCY888\Cookies\besitzer@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer.THOMAS-GSOCY888\Cookies\besitzer@sexlist[2].txt -> Spyware.Cookie.Sexlist : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer.THOMAS-GSOCY888\Lokale Einstellungen\Temp\6.exe -> Dialer.Generic : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer.THOMAS-GSOCY888\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OLQRSPQR\dl[1].gif -> TrojanDownloader.Small : Gesäubert mit Backup
:mozilla.12:C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla\Profiles\default\zwrhrec0.slt\cookies.txt -> Spyware.Cookie.Sexlist : Gesäubert mit Backup
:mozilla.13:C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla\Profiles\default\zwrhrec0.slt\cookies.txt -> Spyware.Cookie.Sexlist : Gesäubert mit Backup
:mozilla.14:C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla\Profiles\default\zwrhrec0.slt\cookies.txt -> Spyware.Cookie.Sexlist : Gesäubert mit Backup
:mozilla.15:C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla\Profiles\default\zwrhrec0.slt\cookies.txt -> Spyware.Cookie.Sexlist : Gesäubert mit Backup
:mozilla.16:C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla\Profiles\default\zwrhrec0.slt\cookies.txt -> Spyware.Cookie.Paycounter : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@tfag[2].txt -> Spyware.Cookie.Tfag : Gesäubert mit Backup
C:\ms32.exe -> TrojanDownloader.Small : Gesäubert mit Backup
C:\System Volume Information\_restore{F2A6F6AE-78BC-4CD3-B984-FCB77ECB3535}\RP8\A0008314.exe -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\WINDOWS\SYSTEM32\ld69B6.tmp -> TrojanDownloader.Agent.uz : Gesäubert mit Backup
C:\WINDOWS\SYSTEM32\ld6B5C.tmp -> TrojanDownloader.Agent.uz : Gesäubert mit Backup
C:\WINDOWS\SYSTEM32\ldDF69.tmp -> TrojanDownloader.Agent.uz : Gesäubert mit Backup

::Report Ende

3. LSP-fix liefert folgendes -> was soll ich tun ?
File Description
winmr.dll NTDS
rsvpsp.dll (Protocol handler)
mswsock.dll TCP/IP

Und hier noch das aktuelle HJT Logfile

Logfile of HijackThis v1.99.1
Scan saved at 22:05:39, on 04.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Dokumente und Einstellungen\Besitzer.THOMAS-GSOCY888\Eigene Dateien\Anti-Viren-Programme\security suite\ewidoctrl.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Iomega\AutoDisk\ADUserMon.exe
C:\Dokumente und Einstellungen\Besitzer.THOMAS-GSOCY888\Eigene Dateien\Anti-Viren-Programme\security suite\ewidoguard.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Messenger\msmsgs.exe
C:\OPLIMIT\ocrawr32.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Besitzer.THOMAS-GSOCY888\Eigene Dateien\Anti-Viren-Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
F3 - REG:win.ini: load=C:\OPLIMIT\ocraware.exe
O2 - BHO: HomepageBHO - {893fad3a-931e-4e53-b515-b1426d63799b} - C:\WINDOWS\system32\hp61B7.tmp (file missing)
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] c:\programme\iomega zip\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] c:\programme\iomega zip\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Dokumente und Einstellungen\Besitzer.THOMAS-GSOCY888\Eigene Dateien\Anti-Viren-Programme\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Dokumente und Einstellungen\Besitzer.THOMAS-GSOCY888\Eigene Dateien\Anti-Viren-Programme\security suite\ewidoguard.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Programme\Iomega\AutoDisk\ADService.exe

felix1 · 04.11.2005, 22:28

Was ist mit den Fenstern. Tritt das noch auf. Ich kann nicht "Hellsehen".

tom9 · 04.11.2005, 22:35

ich habe den IE mal ein paar Minuten rennen lassen - sieht ganz gut aus, d.h. bisher ist das Problem dem Fensteröffnen nicht mehr aufgetreten

denkst du, ich muss noch etwas unternehmen ??

Wildone · 04.11.2005, 23:01

Hallo,
nur zur Information, hier liegt/lag keine look2me Verseuchung vor, dieser O20 Eintrag:
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
ist wahrscheinmlich die Intelgrafikkarte.
und somit ist die Anleitung von Cacatoa nur bedingt richtig.
Hier ist der Knackpunkte der O21 Eintrag:
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll
nährer Infos darüber hier.
Ob Spysweeper auch das restlos bereinigen kann weiß ich nicht, ist aber möglich.

Grüße Wildone

felix1 · 04.11.2005, 23:04

Zitat:

Zitat von tom9

ich habe den IE mal ein paar Minuten rennen lassen - sieht ganz gut aus, d.h. bisher ist das Problem dem Fensteröffnen nicht mehr aufgetreten

denkst du, ich muss noch etwas unternehmen ??

Nee, nur beobachten. Melden, sobald etwas eintritt

tom9 · 05.11.2005, 07:27

zunächst mal besten Dank für die Unterstützung !
Im Moment sieht alles ganz ordentlich aus

... falls nochmals etwas sein sollte, melde ich mich wieder

04.11.2005, 20:35	#2
felix1 /// Helfer-Team	IE öffnet unzählige Fenster Folge mal der Anleitung von Cacatoa im Post 2: http://www.trojaner-board.de/showthread.php?t=23237 __________________ __________________

04.11.2005, 22:28	#4
felix1 /// Helfer-Team	IE öffnet unzählige Fenster Was ist mit den Fenstern. Tritt das noch auf. Ich kann nicht "Hellsehen". __________________ LG Der Felix Keine Hilfe per PN und E-Mail

IE öffnet unzählige Fenster

Log-Analyse und Auswertung: IE öffnet unzählige Fenster