Hallo zusammen,
auch mich hat es mit irgendwie nem Sch**ß erwischt. Ständig öffnet sich der IE mit Werbung und bei Mozilla sieht das nicht anders aus. Kann mir jemand helfen???
Dank schon mal im voraus.....Mfg

Mein System: XP mit Sp2
Und das Log:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
D:\Programme\Alcohol120\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\Mozilla\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
D:\eigene Dateien\software\AntiViren\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Download with NetPumper - D:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MS_OFF~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MS_OFF~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152337131078
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152337124109
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\gplql3351.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: MySQL - Unknown owner - D:\Programme\MySql\bin\mysqld-nt".exe (file missing)
O23 - Service: NILM License manager - Macrovision Corporation - D:\Programme\Diadem\Shared\License Manager\Bin\lmgrd.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol120\Alcohol 120\StarWind\StarWindService.exe

Guten Morgen,
bei dir fehlt noch der Kopf vom HJT-Logfile.
PP

Guten Morgen PeterPan.....
dachte nicht das der wichtig ist.Ich arbeite zum ersten mal mit HJT..
hier der Kopf:

Logfile of HijackThis v1.99.1
Scan saved at 09:15:26, on 10.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

C:\WINDOWS\system32\gplql3351.dll bei JOTTI überprüfen lassen und das Ergebniss hier posten.

Sieht nach LOOK2Me Malware aus.

Hi..
solch eine Datei existiert nicht.Nicht im System32 Ordner und bei einer Suche findet er die Datei auch nirgends.
Dieses Look2Me hatte ad-aware auch schon mal gefunden und angeblich beseitigt,kann also gut sein das es damit zusammenhängt.

Zitat:

Zitat von Saib

Hi..
solch eine Datei existiert nicht.Nicht im System32 Ordner und bei einer Suche findet er die Datei auch nirgends.
Dieses Look2Me hatte ad-aware auch schon mal gefunden und angeblich beseitigt,kann also gut sein das es damit zusammenhängt.

Windows Explorer/ Extras/ Ordneroptionen/ Ansicht/

Hier bei "Geschützte Systemdateien ausblenden" den Hacken entfernen und bei der Option "Versteckte Dateien und Ordner" darunter "alle Dateien und Ordner anzeigen" markieren. Mit ok bestätigen!

Danach die C:\WINDOWS\system32\gplql3351.dll nochmals suchen.

Nichts zu machen die ist einfach nicht da. Kann es sein das antivir, ad-aware oder sonst etwas diese Datei gelöscht hat?Bringt ein Neustart evt etwas?

@Saib,
die O20 kennzeichnet im HJT-LogFile einen Registry-Eintrag.

Zitat:

O20 - AppInit_DLLs-Autostarteinträge in der Registry

Beispieleinträge:

O20 - AppInit_DLLs: msconfd.dll

Was zu unternehmen ist:
Dieser Registry-Wert, zu finden unter
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows,
lädt bei der Benutzer-Anmeldung eine DLL in den Speicher, die auch nach der Abmeldung dort verbleibt. Nur sehr wenige Programme nutzen diese Vorgehensweise auf legale Art (z. B. Norton CleanSweep benutzt die APITRAP.DLL). Wesentlich öfter wird diese Vorgehensweise jedoch von einem Trojaner oder einem agressiven Browser-Hijacker verwandt.

Falls eine 'verborgene' DLL durch diesen Registry-Wert (nur sichtbar, wenn im Registrierungs-Editor unter Ansicht die Option 'Binärdaten anzeigen' verwendet wird) geladen wird, kann dem dll-Namen das Zeichen '|' vorangestellt sein, um diesen Eintrag im Log sichtbar zu machen.

Die Datei könnte schon gelöscht sein.

Zitat:

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll

Diese Datei solltest du einmal bei Jotti prüfen lassen und hier posten.
PP

mOIn auch

@PP google sagt das hxds.dll zu Windows gehöhrt

MFG

@Saib,
laß dich bitte nicht abhalten.
PP

Ich habe mal wieder ad-aware durchlaufen lassen und der hat mir folgendes rausgeworfen:

Adware.Look2Me Object Recognized!
Type : Process
Data : ieput.dll
TAC Rating : 7
Category : Adware
Comment : iieshare.dll.dmp
Object : C:\WINDOWS\system32\

und

Adware.Look2Me Object Recognized!
Type : Process
Data : hr4605hse.dll
TAC Rating : 7
Category : Adware
Comment : iieshare.dll.dmp
Object : C:\WINDOWS\system32\

@peterpan
das mit jotti mach ich gleich

fixe mit hijackthis
O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\gplql3351.dll<--- kann varieren

fix button klicken.

PC neustarten

Lade dir l2mfix
herunter und arbeite die option 2 ab.

poste danach ein neues HijackThis logfile

:aplaus: Das wars der Rechner läuft!

Hier noch mal(ich hoffe ein letztes) das Log-file:
Logfile of HijackThis v1.99.1
Scan saved at 16:52:32, on 10.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
D:\Programme\Alcohol120\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
D:\PROGRA~1\Mozilla\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
D:\eigene Dateien\software\AntiViren\hijackthis\HijackThis.exe
C:\WINDOWS\SoftwareDistribution\Download\34386b12819d398f193a0d84c3548076\update\update.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Download with NetPumper - D:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MS_OFF~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MS_OFF~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152337131078
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152337124109
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: MySQL - Unknown owner - D:\Programme\MySql\bin\mysqld-nt".exe (file missing)
O23 - Service: NILM License manager - Macrovision Corporation - D:\Programme\Diadem\Shared\License Manager\Bin\lmgrd.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol120\Alcohol 120\StarWind\StarWindService.exe


Vielen Dank an alle die mit Rat und Tat bei meinem Problem geholfen haben!
Mfg

Dein logfile ist jetzt unauffällig!

Zur Sicherheit scanne noch mit escan dein System.