Firefox arbeitet selbständig

Ma25Fe · 29.03.2006, 19:31

Ich habe folgendes Problem:

Firefox öffnet selbständig irgendwelche Seiten !
z.B.

hxxp://xxx.buyer-shabit.com/normal/yyy65.html
hxxp://xxx.ecommerc-e.com/normal/yyy65.html
hxxp://xxx.dealiotoday.com/normal/yyy102.html

Hier ist meine Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:11:29, on 29.03.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\System32\Launcher.exe
C:\windows\mousepad6.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\GEMEIN~1\rkki\rkkim.exe
C:\WINDOWS\System32\CROSOF~1\netdde.exe
C:\Dokumente und Einstellungen\xxx\Eigene Dateien\?ymbols\m?dtc.exe
C:\WINDOWS\MSmedia.exe
C:\WINDOWS\system32\hostserv.exe
C:\Programme\Network Monitor\netmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\notepad.exe
H:\Downloads\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/?.home=ytie
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/?.home=ytie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [PrimaLauncher] C:\WINDOWS\System32\Launcher.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard6.exe
O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad6.exe
O4 - HKLM\..\Run: [newname] C:\windows\newname6.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [rkki] C:\PROGRA~1\GEMEIN~1\rkki\rkkim.exe
O4 - HKCU\..\Run: [Aatm] "C:\WINDOWS\System32\CROSOF~1\netdde.exe" -vt yazr
O4 - HKCU\..\Run: [Ectu] C:\Dokumente und Einstellungen\Markus\Eigene Dateien\?ymbols\m?dtc.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{26AB9AE9-5271-4F27-8B0B-72B2DD48D229}: NameServer = 217.237.150.33 217.237.151.161
O17 - HKLM\System\CCS\Services\Tcpip\..\{5DA1FCFB-0894-4494-8DE3-8D52BB18CA25}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{B91E1AC0-2118-45B4-A5F9-BD2CDE6BF0F2}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{26AB9AE9-5271-4F27-8B0B-72B2DD48D229}: NameServer = 217.237.150.33 217.237.151.161
O17 - HKLM\System\CS2\Services\Tcpip\..\{26AB9AE9-5271-4F27-8B0B-72B2DD48D229}: NameServer = 217.237.150.33 217.237.151.161
O20 - Winlogon Notify: dvd4free - C:\WINDOWS\SYSTEM32\dvd4free.dll
O20 - Winlogon Notify: URL - C:\WINDOWS\system32\lvnu0959e.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWFya3VzIEZleQ\command.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe
O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\system32\hostserv.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

DaBorschdi · 29.03.2006, 19:38

kuck ma ob du irgendein Prog auf dem rechner hast das -Zango- im Namen trägt, zB ZangoWebsearch etc

Ma25Fe · 29.03.2006, 20:00

Mit Zango habe ich nichts gefunden aber was sind das für Dateien

drsmartload1
drsmartload46a
DR140306
PPCleanDeleteAtReboot

????

irrlicht · 29.03.2006, 20:51

Hallo Ma25Fe,
das ist der Grund für deine völlig versaute Kiste :
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Bei dir drängelt sich so ziemlich alles was übel und böse ist.Das beginnt bei Hijackerngeht über Look2me-Infektion bis hin zur Fremdsteuerung.Das hier ist jetzt der Chef auf deiner Kiste :
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWFya3VzIEZleQ\command.exe
Nimm die Mühle vom Netz,besorg dir SP2 und setze neu auf nach der Anleitung hier auf der Startseite unter "Anleitungen,FAQ,Links"
Irrlicht

Ma25Fe · 30.03.2006, 18:28

Erst einmal Danke für eure Hilfe !

Gibt es noch eine Möglichkeit die Kiste ohne Neuinstallation zu säubern ?????

dartus · 30.03.2006, 23:13

Hallo Ma25Fe,

ein klares NEIN!
In Deinem System sind min. 2 Backdoors aktiv.

dartus

Ma25Fe · 31.03.2006, 17:40

Ich habe jetzt Windows neu installiert !

hier ist der neue Logfile

Logfile of HijackThis v1.99.1
Scan saved at 18:37:51, on 31.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
H:\Downloads\Hijackthis\HijackThis.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\2c0d6ae612bf2508e86d63ab316e1a62\update\update.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6B55DC9-F815-4A55-89C0-C34DEB9A6735}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE474FE5-9033-46C4-A9B8-3F086E00CD78}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{F126AE9C-ECD0-4ED7-9EF2-5C35B55EE21C}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: avs_on - Unknown owner - C:\Programme\DATA BECKER\Antivirus 2005\AntiVirus\avs_on.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

Ist jetzt alles sauber oder ist noch ein Virus vorhanden ?

Firefox arbeitet wieder normal !

irrlicht · 31.03.2006, 19:10

Hallo Ma25Fe,
das ging ja recht flott bei dir.Um zukünftig solches zu vermeiden,solltest du noch diesen Link gelesen haben :
http://www.trojaner-board.de/showthread.php?t=12154
Für dich wird es ab dem Punkt intressant :
Nach dem Neuaufsetzen und vor der ersten Internetverbindung.
Klick und lese dich durch die Links,vielleicht handelst du danach.
Irrlicht

Firefox arbeitet selbständig

Log-Analyse und Auswertung: Firefox arbeitet selbständig