| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Internet Explorer spielt verrücktWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
06.06.2006, 19:05
| #1 |
| |  Internet Explorer spielt verrückt Hallo zusammen, Die Datei C:\WINDOWS\SYSTEM32\?ICROSOFT\?TTRIB.EXE (oder attrib.exe) versucht Verbindung mit dem Internet herzustellen. Wenn die Datei bei dem angegeben Pfad sucht, findet man sie dort nicht, sondern man findet direkt im system32-Ordner "attrib.exe" (nicht "?ttrib.exe") Meistens passiert dies, nachdem ich meinen Internet Explorer starte und der statt der Startseite w*w.google.de die Seite http://w*w.guarduptodate.net/ startet. Logfile of HijackThis v1.99.1 Scan saved at 19:59:24, on 06.06.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\WINLOGON.EXE C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\SYSTEM32\SVCHOST.EXE C:\WINDOWS\SYSTEM32\SPOOLSV.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Athan\Athan.exe C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\PROGRA~1\TRENDM~1\INTERN~2\PCCTLCOM.EXE C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe C:\PROGRA~1\TRENDM~1\INTERN~2\TMPROXY.EXE C:\PROGRA~1\TRENDM~1\INTERN~2\TMPFW.EXE C:\PROGRA~1\TRENDM~1\INTERN~2\PccGuide.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\SYSTEM32\?ICROSOFT\?TTRIB.EXE C:\Dokumente und Einstellungen\Na***\Desktop\hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.planspiel-boerse.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Spiele\ICQToolbar\toolbaru.dll R3 - URLSearchHook: (no name) - {1CA9A19A-655C-3D8B-2F77-3EB67F17A2C0} - C:\WINDOWS\system32\bbkc.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1CA9A19A-655C-3D8B-2F77-3EB67F17A2C0} - C:\WINDOWS\system32\bbkc.dll O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - C:\WINDOWS\system32\hp100.tmp O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: MSN Suche Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Spiele\FlashFXP\IEFlash.dll O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Spiele\ICQToolbar\toolbaru.dll O3 - Toolbar: MSN Suche Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [AVG_CC] C:\Spiele\Grisoft\AVG6\avgcc32.exe /STARTUP O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Athan] C:\Programme\Athan\Athan.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Spiele\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &MSN Suche - res://C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll/search.htm O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\MSN Toolbar Suite\TAB\02.05.0001.1119\de-de\msntabres.dll/229?6b11984ceeb49d293f4aa793a42b3b O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\MSN Toolbar Suite\TAB\02.05.0001.1119\de-de\msntabres.dll/230?6b11984ceeb49d293f4aa793a42b3b O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Spiele\LeechGet 2004\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Spiele\LeechGet 2004\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Spiele\LeechGet 2004\\Parser.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI01DA~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Spiele\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Spiele\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.planspiel-boerse.de O16 - DPF: load - http://download.payone.de/install/load.CAB O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,83/mcinsctl.cab O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1162 O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,20/mcgdmgr.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - AppInit_DLLs: "" O20 - Winlogon Notify: winbue32 - C:\WINDOWS\SYSTEM32\winbue32.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\TmPfw.exe O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe MfG qrashy |
|
06.06.2006, 19:28
| #2 | |
| Administrator > Competence Manager  | Internet Explorer spielt verrückt Hallo,
__________________lass diese Dateien bei Virustotal auswerten und poste anschliessend das Ergebnis: Zitat:
Daniel
__________________ |
|
06.06.2006, 19:30
| #3 |
  | Internet Explorer spielt verrückt Hallo,
__________________im explorer wird die Datei als C:\WINDOWS\SYSTEM32\MICROSOFT\ATTRIB.EXE (vom Orginalordner nur durch das aktuelle Erstellungsdatum zu unterscheiden) angezeigt. Grüße Wildone |
|
06.06.2006, 19:32
| #4 | |
| Administrator > Competence Manager | Internet Explorer spielt verrücktZitat:
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
06.06.2006, 19:34
| #5 |
| | Internet Explorer spielt verrückt Hallo, ich habe es nur geschrieben da es somit zwei gleichaussehende Ordner in diesem Pfad gibt(so wie es im Explorer angezeigt wird), und wenn man später den falschen löscht zerschießt man ev. das System. Grüße Wildone |
|
06.06.2006, 19:37
| #6 | |
| Administrator > Competence Manager | Internet Explorer spielt verrücktZitat:
  l
__________________ --> Internet Explorer spielt verrückt |
|
06.06.2006, 19:46
| #7 |
| | Internet Explorer spielt verrückt Ich glaube ich wurde an einer stelle nicht ganz verstanden. Ich soll jetz die Datei attrib.exe scannen lassen. Aber die Datei ist in C:\WINDOWS\system32\?icrosoft\?ttrib.exe , so Trendmicro. Wenn ich diese suche, komme ich auf keinen Fund, sondern kann nur C:\WINDOWS\system32\attrib.exe finden. Ist es jetzt richtig, wenn ich die von mir gefundene Datei scannen lasse? |
|
06.06.2006, 19:47
| #8 |
| Administrator > Competence Manager | Internet Explorer spielt verrückt kannst du machen, aber das wird nichtss bringen! Scanne lieber erstmal die anderen Dateien. (die attrib.exe hinterher!  )
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
06.06.2006, 19:49
| #9 |
| | Internet Explorer spielt verrückt Hallo, nein ist es nicht. Du überprüfst die Datei: C:\WINDOWS\SYSTEM32\MICROSOFT\ATTRIB.EXE Grüße Wildone |
|
06.06.2006, 19:53
| #10 | |
| | Internet Explorer spielt verrücktZitat:
|
|
06.06.2006, 19:57
| #11 |
| | Internet Explorer spielt verrückt Hallo, versuche es mal, ist aber nicht so wichtig, ich weiß das Ergebnis wahrscheinlich sowieso. Panda bezeichnet ihn zumindest als Purityscan. Im großen und ganzen weiß ich nicht ob eine bereinigung viel Simm macht, da sie wahrscheinlich länger dauert als ein Neuaufsetzen. Aber mach mal wie von [Gc]Sunny vorgeschlagen mit den anderen Dateien weiter. Grüße Wildone |
|
06.06.2006, 20:02
| #12 |
| | Internet Explorer spielt verrückt Nun die Ergebnisse. Vielen Dank euch beiden! Echt nett und super schnell!! Complete scanning result of "bbkc.dll", received in VirusTotal at 06.06.2006, 20:55:12 (CET). Antivirus Version Update Result AntiVir 6.34.1.37 06.06.2006 ADSPY/PurityScan.AK.90 Authentium 4.93.8 06.05.2006 no virus found Avast 4.7.844.0 06.06.2006 Win32:Agent-RY AVG 386 06.06.2006 no virus found BitDefender 7.2 06.06.2006 no virus found CAT-QuickHeal 8.00 06.06.2006 no virus found ClamAV devel-20060426 06.06.2006 no virus found DrWeb 4.33 06.06.2006 Adware.ClickSpring eTrust-InoculateIT 23.72.29 06.06.2006 no virus found eTrust-Vet 12.6.2244 06.06.2006 Win32/Clspring!generic Ewido 3.5 06.06.2006 Adware.PurityScan Fortinet 2.77.0.0 06.06.2006 Adware/PurityScan F-Prot 3.16f 06.02.2006 no virus found Ikarus 0.2.65.0 06.06.2006 AdWare.PurityScan.AK Kaspersky 4.0.2.24 06.06.2006 not-a-virus:AdWare.Win32.PurityScan.ak McAfee 4778 06.06.2006 potentially unwanted program Adware-ClickSpring Microsoft 1.1441 06.06.2006 no virus found NOD32v2 1.1581 06.06.2006 no virus found Norman 5.90.17 06.06.2006 W32/PurityScan.XW Panda 9.0.0.4 06.06.2006 Adware/PurityScan Sophos 4.05.0 06.06.2006 no virus found Symantec 8.0 06.06.2006 no virus found TheHacker 5.9.8.155 06.05.2006 no virus found UNA 1.83 06.06.2006 Adware.PurityScan VBA32 3.11.0 06.06.2006 AdWare.Win32.PurityScan.ak Aditional Information File size: 139264 bytes MD5: ff508404a0bedf696ab78fcde051b466 SHA1: 14465e61d133e9d2645dd1bf9c16129df65dcf66 Complete scanning result of "winbue32.dll", received in VirusTotal at 06.06.2006, 20:56:25 (CET). Antivirus Version Update Result AntiVir 6.34.1.37 06.06.2006 no virus found Authentium 4.93.8 06.05.2006 no virus found Avast 4.7.844.0 06.06.2006 Win32:Trojano-BJ AVG 386 06.06.2006 BackDoor.Generic2.XNE BitDefender 7.2 06.06.2006 Trojan.Agent.NS CAT-QuickHeal 8.00 06.06.2006 no virus found ClamAV devel-20060426 06.06.2006 no virus found DrWeb 4.33 06.06.2006 no virus found eTrust-InoculateIT 23.72.29 06.06.2006 Win32/Nebuler.B!Trojan eTrust-Vet 12.6.2244 06.06.2006 Win32/Nebuler.B Ewido 3.5 06.06.2006 Trojan.Agent.qt Fortinet 2.77.0.0 06.06.2006 BDoor.CVT!tr.bdr F-Prot 3.16f 06.02.2006 no virus found Ikarus 0.2.65.0 06.06.2006 Backdoor.Win32.Hupigon.BV Kaspersky 4.0.2.24 06.06.2006 Trojan.Win32.Agent.qt McAfee 4778 06.06.2006 BackDoor-CVT Microsoft 1.1441 06.06.2006 no virus found NOD32v2 1.1581 06.06.2006 Win32/TrojanDownloader.Small.CML Norman 5.90.17 06.06.2006 W32/Agent.ADEX Panda 9.0.0.4 06.06.2006 Adware/DollarRevenue Sophos 4.05.0 06.06.2006 no virus found Symantec 8.0 06.06.2006 no virus found TheHacker 5.9.8.155 06.05.2006 no virus found UNA 1.83 06.06.2006 Trojan.Win32.Agent VBA32 3.11.0 06.06.2006 Trojan.Win32.Agent.qt Aditional Information File size: 12271 bytes MD5: f01e608f90b7cb5cbff3c94e53cfd779 SHA1: 077417bec93b1c8958648a40889f6521e820f257 entschuldigt.. die Zeilen sind ein wenig verrutscht wie muss ich nun weiter vorgehen? ach, ich habs ganz vergessen.. das ergebnis von beiden attribs  brachte kein Virenfund! |
|
| Themen zu Internet Explorer spielt verrückt |
| adobe, antivir, appinit_dlls, avg, avira, bho, central, desktop, dll, einstellungen, excel, explorer, firewall, ftp, helper, hijack, hijackthis, icqtoolbar, internet, internet explorer, nvidia, pdf, programme, rundll, software, system, trend micro, urlsearchhook, windows, windows xp |
Linear-Darstellung
