IE startet laufend Fenster, nicht zu schliessen

peweb · 26.07.2006, 16:19

Hallo und danke fürs lesen.

IE 6.0 auf WinXP SP2 öffnet selbständig Fenster, die sich nicht mehr schließen lassen. Er möchte weitere Virensoftware downloaden. Ein gelbes dreieck in der Taskleiste signalisiert eine gefundene Spyware, die zu www.pesttrap.com verbinden will.

Habe Spybot S&d und Avast Virenscanner

Wäre tierisch dankbar für Hilfe

hier mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 17:03:33, on 26.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\IntCodec\isamonitor.exe
C:\Programme\IntCodec\pmsngr.exe
C:\WINDOWS\Dit.exe
C:\Programme\Canon\BJPV\TVMon.exe
C:\Programme\IntCodec\isamini.exe
C:\Programme\Canon\BJCard\BJLaunch.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
C:\Programme\IntCodec\pmmon.exe
C:\Programme\palmOne\AlarmApp.exe
C:\Programme\palmOne\HOTSYNC.EXE
C:\WINDOWS\DitExp.exe
C:\Programme\Avast4\aswUpdSv.exe
C:\Programme\Avast4\ashServ.exe
C:\Programme\Canon\BJCard\Bjmcmng.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avast4\ashMaiSv.exe
C:\Programme\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\SpeedProject\SpeedCommander 10\SpeedCommander.exe
D:\inst\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.freenet.de/
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5753791b-f607-48ca-814e-91c14d081f9e} - C:\Programme\IntCodec\isaddon.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [BJPD HID Control] C:\Programme\Canon\BJPV\TVMon.exe
O4 - HKLM\..\Run: [BJLaunchEXE] C:\Programme\Canon\BJCard\BJLaunch.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Microsoft-Updates] svxhost.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [Microsoft-Updates] svxhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - Startup: HotSync Manager.lnk = C:\Programme\palmOne\HOTSYNC.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Alarm Manager.LNK = C:\Programme\palmOne\AlarmApp.exe
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O20 - AppInit_DLLs: C:\WINDOWS\system32\wmfhotfix.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: cholecyst - {ee2975b6-e8d5-405e-8448-8fe9590f6cfb} - C:\WINDOWS\system32\mzoeut.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Canon BJ Memory Card Manager (Bjmcmng) - CANON INC. - C:\Programme\Canon\BJCard\Bjmcmng.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Peter

Darthshoot · 26.07.2006, 16:40

Ich hab nur oberflächlich geguckt, aber das hier scheint mir verdächtig.
Google sagt das selbe.

C:\Programme\IntCodec\isamonitor.exe

Außerdem scheinen Leute, die dieses Ding drauf hatten auch ein gelbes Wahndreieck gesehen zu haben. Usw. Bitte lass mal einen Internetscanner drüber laufen. Aber da können dir andere Leute besser helfen...

Ich empfehle von Avira immer noch den Personal.

EDIT: Überhaupt scheint dieser seltsame Ordner Intcodec ziemlich vieles zu enthalten, was dein Problem warscheinlich veruhrsacht. Also mal reinschauen...

Haui45 · 26.07.2006, 16:48

Hallo,

bitte "deaktiviere" den Link zu pesttrap.com!

Zitat:

O4 - HKLM\..\RunServices: [Microsoft-Updates] svxhost.exe

Stammt von diesem Schädling: RBot-CT

Die einzige Möglichkeit um wieder ein vertrauenswürdiges System zu erhalten, ist hier beschrieben. Beachte auch die Links in meiner Sigantur.

Darthshoot · 26.07.2006, 16:57

Das ist nicht das einzige. Es scheint allgemein schon viel dubioses auf seinem Rechner zu sein. Ich hatte auch den Verdacht, dass dieses svx Ding gefährlich ist. Allerdings habe ich es nicht kontrolliert. Tja das hat man von halber Arbeit. Also Lösche dieses Ding und das was Haui45 gepostet hat und dann musst du die Registry, Win.ini, CONFIG.sys AUTOEXEC.BAT und AutostartOrdner prüfen, bevor du neustartest nach dem Löschen!

EDIT: VERDAMMT! Löscht bitte jemand diesen Beitrag? -_- hab das mit Backdoor übersehen...

irrlicht · 26.07.2006, 18:01

Hallo Darthshoot,

Zitat:

EDIT: VERDAMMT! Löscht bitte jemand diesen Beitrag?

ouihhh,der Helfer aus den Tiefen des ICQ findet den Editierbutton nicht ?

Zitat:

Registriert seit: 15.06.2006
Ort: Im System Volume Ordner ^^

Fehlt da nicht was nach Ort : ?

Vielleicht "Komiker" ?

Irrlicht

peweb · 26.07.2006, 18:20

So, herzlichen Dank erstmal für die vielen Tips....

Ich hab mit dem ewido scanner sage und schreibe 552 Treffer erhalten und löschen lassen.

Den Ordner C:\Programme\IntCodec\ konnte ich im abgesicherten Modus löschen. Er wird auch nicht mehr angelegt.

Den Aufruf von svxhost.exe hab ich in der Registry gelöscht.

Tja nun scheint Ruhe zu sein, ich kann nichts mehr feststellen. Ich beobachte das jetztmal und werd den Rechner demnächst mal neu aufsetzen.

Ich möchte mich nochmals ganz herzlich bei euch bedanken. Es ist nicht selbstverständlich, so schnell und so uneigennützig Hilfe zu bekommen. Ihr habt meinen uneingeschränkten Respekt.

Peter

IE startet laufend Fenster, nicht zu schliessen

Log-Analyse und Auswertung: IE startet laufend Fenster, nicht zu schliessen