hi leute,
hab seit heute ein problem. firefox öffnet automatisch neue fenster/tabs, mit verschiedenen adressen (z.b.: ***.wild-savings.com/tau.html).
hier mein log:

Logfile of HijackThis v1.99.1
Scan saved at 23:53:52, on 22.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\eMule.de\emule.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Dokumente und Einstellungen\king.GOTT\Lokale Einstellungen\Temp\wzc5e4\HijackThis.exe
C:\Programme\Windows Media Player\wmplayer.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\lcrmonui.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

bitte helft mir, vielen dank schonmal.
cu

Hallo bilbo,

lass mal diese Datei bei VIRUSTOTAL überprüfen:

C:\WINDOWS\system32\lcrmonui.dll

und poste danach das Ergebnis..

Gruß
Daniel

[EDIT] Das ist auch ein ganz böser Trojaner: C:\Programme\eMule.de\emule.exe [/EDIT]

sorry, da steht ich hab kein ie (logisch, is ja firefox), aber der wird gebraucht.
haste noch ne idee??

Kannste die Antwort auch mal in einem ordentlichem Deutsch formulieren?

Hallo,

benutze diesen LINK

dartus

EDIT: virustotal.de ist nicht virustotal.com

Hallo,
Erstens ist das anständiges deutsch (naja, zumindest verständlich) und zweitens ist der falsche Link gepostest worden, richtig wäre www.virustotal.com

Edit
Hallo dartus


Grüße Wildone

@felix
auf der oben genannten seite wird internet explorer verlangt, diesen nutze ich allerdings nicht und habe ihn deinstalliert. ich verwende firefox.

Antivirus Version Update Result
AntiVir 6.34.1.27 05.22.2006 no virus found
Authentium 4.93.8 05.22.2006 no virus found
Avast 4.6.695.0 05.22.2006 no virus found
AVG 386 05.22.2006 no virus found
BitDefender 7.2 05.22.2006 no virus found
CAT-QuickHeal 8.00 05.21.2006 no virus found
ClamAV devel-20060426 05.22.2006 no virus found
DrWeb 4.33 05.22.2006 no virus found
eTrust-InoculateIT 23.72.14 05.21.2006 no virus found
eTrust-Vet 12.4.2221 05.22.2006 no virus found
Ewido 3.5 05.22.2006 no virus found
Fortinet 2.77.0.0 05.23.2006 no virus found
F-Prot 3.16c 05.22.2006 no virus found
Ikarus 0.2.65.0 05.22.2006 no virus found
Kaspersky 4.0.2.24 05.23.2006 no virus found
McAfee 4767 05.22.2006 no virus found
Microsoft 1.1440 05.22.2006 no virus found
NOD32v2 1.1553 05.22.2006 no virus found
Norman 5.90.17 05.22.2006 no virus found
Panda 9.0.0.4 05.22.2006 no virus found
Sophos 4.05.0 05.22.2006 no virus found
Symantec 8.0 05.22.2006 no virus found
TheHacker 5.9.8.146 05.22.2006 no virus found
UNA 1.83 05.22.2006 no virus found
VBA32 3.11.0 05.22.2006 no virus found

Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

sagt das programm.is das jetzt positiv?

Auch wenn Du den IE nicht magst, zum Update ist er erforderlich.

eben wurde dieser link geöffnet:

http://amaena.com/securityworm5/de/?aid=mg6-qld_de_de&lid=102spr&h=&b=0

und ich hab kein plan wie ich vorgehen soll...

Folge von dem Link von Dartus.

Hallo,
bist du sicher das du die richtige Datei (C:\WINDOWS\system32\lcrmonui.dll) untersucht hast?
Sie ist definitiv Malware, nur scheinen sie die Virenscanner noch nicht zu kennen.

Besorge dir mal L2mfix (das mit dem blauen Hintergrund) führe es nur mit der Option "1" aus, und poste dann das Logfile.


Grüße Wildone

Du hast eine leere Datei gescannt.
Entweder hat die Datei eine größe von Null Bytes oder das Teil versucht sich vor dem Scanner zu drücken. (Ich glaube eher letzteres.) Besorg Dir mal den Unlocker und installier ihn. Ist das getan, wechselst Du zum Verzeichnis

c:\windows\system32

mit dem Arbeitsplatz/Explorer und klickst die Datei lcrmonui.dll mit rechts an - dann auf Unlocker klicken. Wenn eine Meldung die aussieht wie "wurde kein Freigabehandle gefunden", sollte die Datei nicht in Verwendung sein. Wenn aber eine Liste mit Prozessen auftaucht, dann versuch diese zu töten und die Datei zu verschieben, z.B. auf den Desktop. Vor dort aus versuchst Du erneut die Datei zu checken (bei Virustotal).
Beachte, dass alle Dateien angezeigt werden müssen, also sowohl die geschützten Systemdateien als auch versteckte Dateien. Anleitung in meiner Signatur.

btw @all: Gibt es noch eigentlich einen einfacheren Weg, Dateien zu un-locken?

Hallo,
@cosinus
Danke, habe total übersehen, dass die gescannte Datei nur 0byte groß ist, bzw. wahrscheinlich aktiv ist.
Ob es einfachere Methode gibt weiß ich nicht, bin mir nicht mal sicher ob die Datei mit unlocker freizuschalten ist, immerhin ist sie in der Winlogon, und wahrscheinlich müßten die explorer.exe und die winlogon.exe beendet werden, und das könnte dann doch zu Kompikationen führen.


Grüße Wildone

Hm, dann wäre wohl killbox besser, damit kann man ja Dateien auf beim nächsten Booten verschieben und dann online checken lassen.