| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: IE baut dauernd ne Seite auf !!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
08.10.2006, 19:14
| #1 |
| |  IE baut dauernd ne Seite auf !! Hallo ich bekomme bei jedem Rechnerstart eine Meldung meiner Firewall (Kerio 2.14): 'IEXPLORE.EXE' from your computer wants to connect to www.thegoldclick.com [68.178.232.178], port 80 Jedesmal eine andere Adresse. Ich erstelle dann eine Regel und verbiete dieses, möchte den Quälgeist aber weghaben. Habe Ewido, PCtools usw. durchlaufen lassen: nix. Alle Programme wie: HDDLIFE, Norton, KDRIVER; Bluetooth, Nokia PCSuite, XAMP- Apache, usw. laufen seit langer Zeit ohne Probleme. Antivirus: AVG Free Ich habe permanent in einem Verzeichnis ein Programm das sich "IEXPLORER" nennt. In diesem Log C:\WINDOWS\msdownld.tmp\IEXPLORE.EXE das Verzeichnis kann ich im abgesicherten Modus entfernen- ist aber nach dem Neustart wieder da. Im Windows\System32 sind 2 leere Verzeichnisse: 1030 und 1031. Auch die kann ich im abgesicherten Mode löschen - erscheinen jedoch sofort wieder. Mein HijackThis Logfile: Logfile of HijackThis v1.99.1 Scan saved at 19:55:40, on 08.10.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\SCardSvr.exe C:\Programme\xampp\apache\bin\apache.exe D:\SYSTEM~2\AVG-AN~1\avgamsvr.exe D:\SYSTEM~2\AVG-AN~1\avgupsvc.exe D:\SYSTEM~2\AVG-AN~1\avgemc.exe D:\system-programme\blue_buffalo\bin\btwdins.exe C:\Programme\xampp\apache\bin\apache.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE D:\buro\nokia-pc-suite-65\Nokia PC Suite 6\LaunchApplication.exe C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe D:\SYSTEM~2\AVG-AN~1\avgcc.exe C:\WINDOWS\SOUNDMAN.EXE D:\system-programme\logitech\iTouch\iTouch.exe D:\system-programme\KDrive32\KDrive32.exe C:\WINDOWS\msdownld.tmp\IEXPLORE.EXE D:\system-programme\ewido\ewido anti-spyware 4.0\ewido.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe D:\system-programme\ewido\ewido anti-spyware 4.0\guard.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Messenger\msmsgs.exe D:\system-programme\powertoys_xp\Fast.exe D:\system-programme\blue_buffalo\BTTray.exe d:\system-programme\nu2002\NPROTECT.EXE D:\system-programme\hddlife\HDDlife.exe D:\system-programme\kerio214\persfw.exe D:\grafik\compupic623\ScsiAccess.exe d:\system-programme\Speed Disk\nopdb.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\System32\alg.exe D:\buro\office2000\Office\OUTLOOK.EXE D:\system-programme\Spyware Doctor\sdhelp.exe D:\buro\office2000\Office\OUTLOOK.EXE D:\buro\office2000\Office\OUTLOOK.EXE D:\internet\firefox\firefox.exe N:\Inst-Progs\programme\internet\antispy\hijackthis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gmx.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von GMX O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - D:\SYSTEM~2\SPYWAR~1\tools\iesdsg.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\system-programme\Java-RE\bin\ssv.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - D:\SYSTEM~2\SPYWAR~1\tools\iesdpb.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\buro\nokia-pc-suite-65\Nokia PC Suite 6\LaunchApplication.exe -onlytray O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [AVG7_CC] D:\SYSTEM~2\AVG-AN~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [zBrowser Launcher] D:\system-programme\logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [KDrive32] "D:\system-programme\KDrive32\KDrive32.exe" O4 - HKLM\..\Run: [Msn Messenger] c:\windows\msnmsngr.exe O4 - HKLM\..\Run: [!ewido] "D:\system-programme\ewido\ewido anti-spyware 4.0\ewido.exe" /minimized O4 - HKLM\..\Run: [QuickTime Task] "D:\media\quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Phase One Media Reader] D:\grafik\CAPTUR~1\DCIMImp.exe /noscan /CheckAutoStart O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Spyware Doctor] "D:\system-programme\Spyware Doctor\swdoctor.exe" /Q O4 - Startup: HDDlife.lnk = D:\system-programme\hddlife\HDDlife.exe O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - D:\internet\avantbrowser\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Hervorheben - D:\internet\avantbrowser\Avant Browser\Highlight.htm O8 - Extra context menu item: In neuem Avant Browser öffnen - D:\internet\avantbrowser\Avant Browser\OpenInNewBrowser.htm O8 - Extra context menu item: Senden an &Bluetooth - D:\system-programme\blue_buffalo\btsendto_ie_ctx.htm O8 - Extra context menu item: Suchen - D:\internet\avantbrowser\Avant Browser\Search.htm O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - D:\internet\avantbrowser\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - D:\internet\avantbrowser\Avant Browser\OpenAllLinks.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\system-programme\Java-RE\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\system-programme\Java-RE\bin\ssv.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\SYSTEM~2\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\system-programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\system-programme\ICQLite\ICQLite.exe O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\system-programme\blue_buffalo\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\system-programme\blue_buffalo\btsendto_ie.htm O12 - Plugin for .fpx: C:\Programme\Internet Explorer\PLUGINS\NPRVRT34.dll O12 - Plugin for .html: D:\internet\Netscape8\PLUGINS\npTrident.dll O12 - Plugin for .ivr: C:\Programme\Internet Explorer\PLUGINS\NPRVRT34.dll O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll O14 - IERESET.INF: START_PAGE_URL=http://www.gmx.de O16 - DPF: {87BF5318-D5F0-41F4-9D14-47967FA8C12B} - http://www.ipix.com/viewers/ipixx.cab O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) - O17 - HKLM\System\CCS\Services\Tcpip\..\{574245CE-6C79-49FC-A26F-B152BFBD299F}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{EFDFEB75-79E6-4594-B1F8-ECE271B27953}: NameServer = 192.168.1.1 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll O20 - Winlogon Notify: winbts32 - winbts32.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Apache2 - Unknown owner - C:\Programme\xampp\apache\bin\apache.exe" -k runservice (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\SYSTEM~2\AVG-AN~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\SYSTEM~2\AVG-AN~1\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - D:\SYSTEM~2\AVG-AN~1\avgemc.exe O23 - Service: AVG6 Service (AvgServ) - Unknown owner - D:\SYSTEM~2\AVG-AN~1\avgserv.exe (file missing) O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - D:\system-programme\pcaw105\awhost32.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - D:\system-programme\blue_buffalo\bin\btwdins.exe O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\DiskeeperWorkstation\DKService.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - D:\system-programme\ewido\ewido anti-spyware 4.0\guard.exe O23 - Service: ewido security suite control - Unknown owner - D:\system-programme\ewido\security suite\ewidoctrl.exe (file missing) O23 - Service: ewido security suite guard - Unknown owner - D:\system-programme\ewido\security suite\ewidoguard.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - C:\WINDOWS\System32\ImapiRox.exe (file missing) O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - d:\system-programme\nu2002\NPROTECT.EXE O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - D:\system-programme\kerio214\persfw.exe O23 - Service: ScsiAccess - Unknown owner - D:\grafik\compupic623\ScsiAccess.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - D:\system-programme\Spyware Doctor\sdhelp.exe O23 - Service: Speed Disk service - Symantec Corporation - d:\system-programme\Speed Disk\nopdb.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe O23 - Service: XAMPP Service (XAMPP) - Unknown owner - C:\Programme\xampp\service.exe Weis jemand Rat ? Danke Mike Geändert von mhc1 (08.10.2006 um 19:30 Uhr) |
|
08.10.2006, 19:40
| #2 |
| /// Helfer-Team    | IE baut dauernd ne Seite auf !! Lasse diese Datei mal online prüfen:
__________________c:\windows\system32\directx.exe Benutze dazu die Hinweise in meiner signatur. Poste die Ergebnisse.
__________________ |
|
09.10.2006, 08:34
| #3 |
| | IE baut dauernd ne Seite auf !! @felix1:
__________________danke für deine schnelle Hilfe. Hier das Ergebnis: Virus-Total: AntivirusVersionUpdateResult AntiVir7.2.0.2510.09.2006HEUR/Crypted Authentium 4.93.810.06.2006no virus found Avast4.7.892.010.08.2006Win32: Agent-BOBAVG38610.07.2006no virus found BitDefender7.210.08.2006no virus found CAT-QuickHeal8.0010.07.2006(Suspicious) - DNAScanClam AVdevel-2006042610.09.2006no virus founde Trust-InoculateIT23.73.1610.07.2006no virus founde Trust-Vet30.3.311810.06.2006no virus found DrWeb 4.3310.08.2006no virus found Ewido4.010.08.2006no virus found Fortinet2.82.0.010.09.2006suspicious F-Prot3.16f10.06.2006no virus found F-Prot44.2.1.2910.06.2006no virus found Ikarus0.2.65.010.09.2006Net-Worm.Win32.Mytob.DE Kaspersky4.0.2.2410.09.2006no virus found McAfee486810.06.2006no virus found Microsoft1.160310.09.2006no virus found NOD32v21.179410.06.2006a variant of Win32/PSW.Gamania.CH Norman5.80.0210.06.2006no virus found Panda9.0.0.410.08.2006Suspicious file Sophos4.10.010.05.2006Mal/Packer TheHacker6.0.1.09410.08.2006no virus found UNA1.8310.06.2006no virus found VBA323.11.110.08.2006no virus found VirusBuster4.3.7:910.08.2006no virus found Jotti: Status: INFIZIERT/MALWARE Entdeckte Packprogramme: PESPIN AntiVir Heuristic/Crypted gefunden (mögliche Variante) ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 a variant of Win32/PSW.Gamania.CH gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden Hm ich werde mal bei mir nach Direkt X- Suchen , die Datei im abgesicherten Mode löschen und DirektX neu installieren müssen. Mal sehen ob das was nützt. Ciao erstmal Mike |
|
09.10.2006, 09:25
| #4 |
| | IE baut dauernd ne Seite auf !! @felix1: So - ich habe mir ein neues Directx geladen, die directx.exe gelöscht und neu installiert: sieht sauber aus !! Vielen Dank, ich dachte die Datei wird benötigt ??? - anscheinend nicht, denn es gibt jetzt keine mehr, auch gut. Ciao Mike |
|
| Themen zu IE baut dauernd ne Seite auf !! |
| abgesicherten modus, alert, avg, bho, browser, buffalo, computer, e-mail, firefox, hijack, hijackthis, hijackthis logfile, iexplore.exe, internet, internet explorer, logfile, monitor, pc tools spyware doctor, port, rundll, security, security suite, senden, server, software, symantec, system, uleadburninghelper, windows, windows xp |
Linear-Darstellung
