|
Log-Analyse und Auswertung: IE öffnet einfachWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
29.01.2006, 13:15 | #1 |
| IE öffnet einfach Hallo Trojaner Board User, ich habe folgendes Problem. Egal was ich mache, so alle 2-3 Minuten öffnet sich einfach der Internet Explorer. Im HijackThis unter Host File Manager sind auch jede Menge URL`s unter meiner localhost-IP eingetragen. Wenn ich spiele, habe ich einen Ping von bis zu ~1300 HijackThis Log Startuplist: StartupList report, 29.01.2006, 13:02:50 StartupList version: 1.52.2 Started from : C:\Dokumente und Einstellungen\****\Desktop\hijackthis\HijackThis.EXE Detected: Windows XP SP2 (WinNT 5.01.2600) Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180) * Using default options ================================================== Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Internet Explorer\iexplore.exe C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\Dokumente und Einstellungen\****\Desktop\hijackthis\HijackThis.exe C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE -------------------------------------------------- Listing of startup folders: Shell folders Common Startup: [C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart] Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Cmaudio = RunDll32 cmicnfg.cpl,CMICtrlWnd ATIPTA = C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe SoundMan = SOUNDMAN.EXE KAVPersonal50 = "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run SpybotSD TeaTimer = C:\Programme\Spybot - Search & Destroy\TeaTimer.exe Steam = -------------------------------------------------- Shell & screensaver key from C:\WINDOWS\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=explorer.exe SCRNSAVE.EXE=*Registry value not found* drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry value not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Enumerating Download Program Files: [Windows Genuine Advantage Validation Tool] InProcServer32 = C:\WINDOWS\system32\LegitCheckControl.DLL CODEBASE = h**p://go.microsoft.com/fwlink/?linkid=48835 [Office Update Installation Engine] InProcServer32 = C:\WINDOWS\opuc.dll CODEBASE = h**p://office.microsoft.com/officeupdate/content/opuc3.cab [WUWebControl Class] InProcServer32 = C:\WINDOWS\System32\wuweb.dll CODEBASE = h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128760939951 [Shockwave Flash Object] InProcServer32 = C:\WINDOWS\system32\Macromed\Flash\Flash8.ocx CODEBASE = h**p://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab [{D7BF3304-138B-4DD5-86EE-491BB6A2286C}] -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: PostBootReminder: C:\WINDOWS\system32\SHELL32.dll CDBurn: C:\WINDOWS\system32\SHELL32.dll WebCheck: C:\WINDOWS\System32\webcheck.dll SysTray: C:\WINDOWS\System32\stobject.dll -------------------------------------------------- End of report, 4.947 bytes Report generated in 0,078 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only Habe schon Kaspersky Antivir, Spybot und Ad-Adware-SE sowie smitRem durch laufen lassen. Wurden zwar einige Spys und Adware gefunden, doch ist immer noch irgendwas drauf. Auch wurden zusätzliche .dll`s angelegt,(siehe Bild) die ich weder im abgesicherten Modus wie auch nicht im normalen Modus löschen kann. Habe schon nach den dll`s bei google gesucht, jedoch mit keiner Aussicht auf Entfernung. Ich hoffe ihr könnt mir helfen. Vielen Dank im vorraus |
29.01.2006, 14:56 | #3 |
| IE öffnet einfach Die Version wird wahrscheinlich die richtige sein, was du gepostet hast ist allerdings die Startup-List.
__________________Erstelle also bitte den HJT-Log, wie hier beschrieben.
__________________ |
29.01.2006, 17:10 | #4 |
| IE öffnet einfach ups entschuldigt bitte Logfile of HijackThis v1.99.1 Scan saved at 17:08:58, on 29.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\ICQLite\ICQLite.exe C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128760939951 O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - O17 - HKLM\System\CCS\Services\Tcpip\..\{542489EA-CE07-4DBE-BF56-E40B989F8114}: NameServer = 217.237.149.225 194.25.2.129 O20 - Winlogon Notify: Syncmgr - C:\WINDOWS\system32\mv68l9ju1.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe |
29.01.2006, 19:02 | #5 |
| IE öffnet einfach
__________________ Only cronos endures |
29.01.2006, 19:30 | #6 |
| IE öffnet einfach hu habe ich gerade gemacht, nachdem ich einen älteren Thread gefunden habe. Also eScan bzw. eScan_neu.txt spuckt mir diese Meldung aus: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sun Jan 29 19:12:23 2006 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken. Sun Jan 29 19:24:20 2006 => Total Disinfected Objects: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "offending" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sun Jan 29 19:12:25 2006 => Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\spysheriff !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sun Jan 29 19:24:20 2006 => Total Objects Scanned: 16028 Sun Jan 29 19:24:20 2006 => Total Critical Objects: 2 Sun Jan 29 19:24:20 2006 => Total Disinfected Objects: 0 Sun Jan 29 19:24:20 2006 => Total Deleted Objects: 0 Sun Jan 29 19:24:20 2006 => Total Errors: 1 Sun Jan 29 19:24:20 2006 => Time Elapsed: 00:12:31 Sun Jan 29 19:10:53 2006 => Virus Database Date: 1/27/2006 Sun Jan 29 19:24:20 2006 => Virus Database Date: 1/27/2006 Sun Jan 29 19:24:25 2006 => Virus Database Date: 1/27/2006 |
29.01.2006, 22:53 | #7 |
| IE öffnet einfach Mit dem oben genannten Link und Programm http://virus-protect.org/l2mfix.html habe ich die Schädlinge entfernen können, so vermute ich zumindest Danke für eure Hilfe ! |
Themen zu IE öffnet einfach |
abgesicherten modus, adobe, antivir, desktop, dll, einstellungen, google, hijack, hijackthis, hijackthis log, installation, internet, kaspersky, löschen, object, programme, registry, registry value, rundll, saver, screensaver, security, security suite, shockwave, software, system, trojaner, trojaner board, ups, userinit.exe, windows, windows xp, öffnet |