2 x iexplore + ständig popups

random_soul · 03.11.2006, 21:06

Mein Problem ist folgendes:
Ich bekomm seit gestern ständig popups die sich mit dem i-explorer öffnen obwohl ich firefox benutze. und als ich mir die prozesse in meinem taskmanager angeschaut habe, lief da 2x iexplore.exe, wenn man diesen prozess beendet war er sofort wieder auf der liste.

außerdem hat antivir heute das erste mal seit einem halben jahr nen trojaner und nen wurm gefunden. trotz löschen besteht das oben genannte problem weiterhin.

ad-aware hab ich auch durchlaufen lassen hat auch nichts geholfen.

wäre nett wenn ihr mal meinen logfile anschauen könntet, vielleicht findet ihr ja das problem.

lg random_soul

Logfile of HijackThis v1.99.1
Scan saved at 20:52:23, on 03.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\Video\FxSvr2.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Setups\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.universal-pop.de/forum/forumdisplay.php?f=170
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CreativeNameWaveWeb] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\castviewcreativename\fragone.exe
O4 - HKLM\..\Run: [shdef] C:\WINDOWS\shdef.exe
O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [less 64] C:\DOKUME~1\Jenny\ANWEND~1\OPENSI~1\Site Glue.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Zu &Windows Live Favorites hinzufügen - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {30CADB40-6FD7-433F-BF0D-4827CA7B5BDF} (FavImport Class) - https://favorites.live.com/cab/ImportAx.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {FDC847F8-DA70-4442-8072-FF883F34D14A} - http://toolbar.dasoertliche-marketing.de/toolbar/normal/download/DasOertlicheSuchLeiste.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag 2000 (OOD2000) - O&O Software GmbH - C:\WINDOWS\system32\OOD2000.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

felix1 · 03.11.2006, 21:23

Lasse online prüfen:
C:\WINDOWS\shdef.exe
C:\WINDOWS\system32\scvhost.exe
\Program\BackWeb-8876480.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\castviewcreativename\fragone .exe
Nutze dazu die Hinweise in meiner Signatur und poste die Ergebnisse.

Man muss sich nicht wundern, wenn man Probleme hat, wenn man sich so etwas freiwillig installiert:
C:\Programme\MessengerPlus! 3\MsgPlus.exe

random_soul · 03.11.2006, 21:47

Zitat:

Zitat von felix1

Lasse online prüfen:
C:\WINDOWS\shdef.exe
C:\WINDOWS\system32\scvhost.exe
\Program\
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\castviewcreativename\fragone .exe
Nutze dazu die Hinweise in meiner Signatur und poste die Ergebnisse.

Man muss sich nicht wundern, wenn man Probleme hat, wenn man sich so etwas freiwillig installiert:
C:\Programme\MessengerPlus! 3\MsgPlus.exe

also BackWeb-8876480.exe gehört zu meiner logitech webcam.
scvhost.exe soll angeblich eine virulente datei sein http://www.klamm.de/forum/showpost.p...35&postcount=4
und über shdef.exe und fragpne .exe habe ich nichts gefunden

felix1 · 03.11.2006, 21:53

Zitat:

Zitat von random_soul

also BackWeb-8876480.exe gehört zu meiner logitech webcam.
scvhost.exe soll angeblich eine virulente datei sein http://www.klamm.de/forum/showpost.p...35&postcount=4
und über shdef.exe und fragpne .exe habe ich nichts gefunden

Du hast mein Posting nicht richtig gelesen. Du solltest die Dateien online prüfen lassen.
In meiner Signatur sind drei Links. Da kann man die entsprechenden Datein hochladen und erhält ein Ergebnis.
Hole das nach.

PS: Klamm ist nicht so unbedingt der Bringer.

random_soul · 03.11.2006, 22:17

C:\WINDOWS\shdef.exe
C:\WINDOWS\system32\scvhost.exe

also die beiden sind im angegebenen ordner schon mal nicht aufzufinden.

Complete scanning result of "fragone.exe", received in VirusTotal at 11.03.2006, 22:07:28 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.37 11.03.2006 no virus found
Authentium 4.93.8 11.03.2006 no virus found
Avast 4.7.892.0 11.03.2006 no virus found
AVG 386 11.03.2006 no virus found
BitDefender 7.2 11.03.2006 no virus found
CAT-QuickHeal 8.00 11.03.2006 no virus found
ClamAV devel-20060426 11.03.2006 no virus found
DrWeb 4.33 11.03.2006 no virus found
eTrust-InoculateIT 23.73.44 11.03.2006 no virus found
eTrust-Vet 30.3.3176 11.03.2006 no virus found
Ewido 4.0 11.03.2006 no virus found
Fortinet 2.82.0.0 11.03.2006 suspicious
F-Prot 3.16f 11.03.2006 no virus found
F-Prot4 4.2.1.29 11.03.2006 no virus found
Ikarus 0.2.65.0 11.03.2006 no virus found
Kaspersky 4.0.2.24 11.03.2006 no virus found
McAfee 4888 11.03.2006 no virus found
Microsoft 1.1609 11.03.2006 no virus found
NOD32v2 1.1852 11.03.2006 no virus found
Norman 5.80.02 11.03.2006 no virus found
Panda 9.0.0.4 11.03.2006 no virus found
Sophos 4.10.0 10.26.2006 no virus found
TheHacker 6.0.1.112 11.03.2006 no virus found
UNA 1.83 11.03.2006 no virus found
VBA32 3.11.1 11.03.2006 no virus found
VirusBuster 4.3.15:9 11.03.2006 no virus found

Aditional Information
File size: 585728 bytes
MD5: 46fd6f2d76fbf9b4a5fe689a007106c9
SHA1: 620bc6b029cf38c720d201294d82155200c68b2b

kaspersky:
Statistiken:
Bekannte Viren: 237906 Updated: 03-11-2006
Größe der Datei (Kb): 572 Viren-Korpus: 0
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0

jotti:

Datei: fragone.exe
Auslastung:
0% 100%
Status:
OK
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

felix1 · 03.11.2006, 22:41

Wie man Dateien richtig findet, kannst Du ebenfalls in meiner Signatur nachlesen.

random_soul · 03.11.2006, 23:05

\shdef.exe findet er trotzdem nicht

und scvhost.exe ist laut online scans sauber

felix1 · 03.11.2006, 23:16

Zitat:

Zitat von random_soul

\shdef.exe findet er trotzdem nicht

und scvhost.exe ist laut online scans sauber

Das glaubst auch nur Du. Ich glaube eher das:
http://www.sophos.de/security/analyses/w32rbotek.html

Hier findest Du die Lösung Deines Problemes:
http://www.trojaner-board.de/showthread.php?t=12154

random_soul · 03.11.2006, 23:18

darf ich fragen wie du darauf kommst?

felix1 · 03.11.2006, 23:31

Darauf erwartest Du aber nicht wirklich eine Antwort. Den Link zu Sophos hast Du aber schon richtig gelesen?

random_soul · 03.11.2006, 23:38

alles klar. danke für deine hilfe

03.11.2006, 22:41	#6
felix1 /// Helfer-Team	2 x iexplore + ständig popups Wie man Dateien richtig findet, kannst Du ebenfalls in meiner Signatur nachlesen. __________________ --> 2 x iexplore + ständig popups

03.11.2006, 23:31	#10
felix1 /// Helfer-Team	2 x iexplore + ständig popups Darauf erwartest Du aber nicht wirklich eine Antwort. Den Link zu Sophos hast Du aber schon richtig gelesen? __________________ LG Der Felix Keine Hilfe per PN und E-Mail

2 x iexplore + ständig popups

Plagegeister aller Art und deren Bekämpfung: 2 x iexplore + ständig popups