Hallo,

ich bräuchte Hilfe, da mein Internetexplorer sich in den letzten Tagen entweder direkt nach dem Hochfahren, oder wenn ich den Firefox benutze, selbst öffnet und mich auf irgendwelche Seiten lenkt, bei denen Antispy und Antivirus-Software angeboten wird.

Ich habe Avast Antivirus , Ad-Aware und Spybot S&D mehrfach laufen/prüfen lassen, allerdings ohne, dass etwas gefunden wurde!

Vielen Dank schon mal für Eure Hilfe!

Hier mein HijackThis log-file:

Logfile of HijackThis v1.99.1
Scan saved at 13:20:12, on 29.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\FOLDER~2\FGKey.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Program Files\PowerManager\PowerManager.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\D-Link\Air USB Utility\AirCFG.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\stickies\stickies.exe
D:\Originaldateien\HijackThis 1.99.1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://bookmarks.bluewin.ch/d/searchpane.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**ps://***/logon_de.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [PowerManager] C:\Program Files\PowerManager\PowerManager.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [pmsetup] 1
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Program Files\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\nnrisksd.dll",realset
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SSS2006] "C:\Program Files\Steganos Security Suite 2006\SSS2006.exe" -boot
O4 - Startup: Stickies.lnk = C:\Program Files\stickies\stickies.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Bluewin Assistant - {0EBC783B-F8FE-4dc5-B5F0-7C80AB218AE2} - C:\Program Files\Bluewin\Assistant\bwa.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=h**p://www.bluewin.ch
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126392173385
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1126473201371
O17 - HKLM\System\CCS\Services\Tcpip\..\{A95958BE-7A0F-4189-8D49-08FAE7F19768}: NameServer = ***
O17 - HKLM\System\CCS\Services\Tcpip\..\{D79BBBC2-2720-470F-A407-4D035BFCFFCD}: NameServer = ***
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = vpn.***.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = vpn.***.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = vpn.***.de
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

@aknr

Zitat:

O4 - HKLM\..\Run: [pmsetup] 1

Bitte fixen.

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{A95958BE-7A0F-4189-8D49-08FAE7F19768}: NameServer = ***
O17 - HKLM\System\CCS\Services\Tcpip\..\{D79BBBC2-2720-470F-A407-4D035BFCFFCD}: NameServer = ***
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = vpn.***.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = vpn.***.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = vpn.***.de

Du musstest die Links deaktivieren, aber nicht verunstalten.

Es tut mir leid, aber ich bekomme meinen Laptop nicht im "safe mode" gestartet. Er fährt hoch und bleibt dann mit schwarzem Bildschirm stehen, in den Ecken steht jeweils "Safe mode".

Was soll ich jetzt machen?

Sorry für die Umstände, aber ich bin nicht so der Computer-Profi.

Vielen Dank.

Zitat:

Zitat von aknr

Was soll ich jetzt machen?

Warum willst du im absgesicherten Modus starten?

Zitat:

Zitat von Rene-gad

Warum willst du im absgesicherten Modus starten?

Hatte beim download von HijackThis irgendwo gelesen, dass das fixen nur im "safe mode" ausgeführt werden sollte.

Habe jetzt die betreffende Stelle einmal gefixt. Beim nächsten Scan taucht sie allerdings wieder auf!

Zudem passiert es momentan, dass das Program aufgrund eines Fehlers geschlossen werden muss.

Error signature lautet:
AppName: hijackthis.exe AppVer: 1.99.0.1 ModName: awtsr.dll
ModVer: 0.0.0.0 Offset: 000361b1

Welche Stelle taucht wieder auf?

Bei einem erneuten Scan. Die Stelle die ich fixen sollte.
"O4 - HKLM\..\Run: [pmsetup] 1"

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://bookmarks.bluewin.ch/d/searchpane.html

unbedingt fixen

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**ps://***/logon_de.asp

fixen

Zitat:

O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\nnrisksd.dll",realset

auch fixen

"R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**ps://***/logon_de.asp"

Dieser Eintrag ist lediglich die Startseite die zum ProfiMailer von 1und1 führt!
Soll diese wirklich gefixt werden?

Nein sollte sie nicht!

Zitat:

Zitat:O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\nnrisksd.dll",realset


auch fixen

Bitte (noch) nicht fixen, sondern die Datei nnrisksd.dll bei virustotal.com hochladen und Prüfergebnis hier posten.

Sorry, habe es schon gefixt. Die Suche nach "nnrisksd.dll" ergab kein Suchergebnis.
Das Problem mit dem sich selbständig öffnenden IE besteht aber weiterhin! Auch der Firefox öffnet jetzt momentan selbständig irgendwelche neuen Browserfenster.

Hast du versteckte Dateien sichtbar gemacht?
Falls die Datei immer noch nicht aufzufinden ist, gehe zu virustotal.com und gib in das Eingabefeld oben rechts exakt den folgenden Pfad ein:
C:\WINDOWS\system32\nnrisksd.dll

Ich habe alle versteckten Ordner und geschützten Systemdateien sichtbar gemacht. Trotzdem kommt bei der Suche kein Ergebnis raus. Bei dem Versuch die Datei hochzuladen, bekomme ich die Meldung dass 0 bytes hochgeladen wurden. Demnach ist diese Datei wohl nicht mehr vorhanden.

Ich habe gerade noch mal gescannt und folgende 2 Einträge gefunden, die mir komisch vorkommen.
Ich lasse diese beiden gerade von virustotal.com überprüfen.
Poste danach das Ergebnis.

Bei den 2 Einträgen handelt es sich um:

O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\qixigmdo.dll",realset
O4 - HKLM\..\Run: [PrintDrive] rundll32.exe "C:\WINDOWS\system32\rlbrcsxg.dll",setvm

Das Ergebnis von virustotal.com lautet:

1.) Complete scanning result of "qixigmdo.dll", received in VirusTotal at 04.29.2007, 19:43:45 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.4.28.0 04.27.2007 no virus found
AntiVir 7.4.0.15 04.29.2007 ADSPY/Virtumonde.HB.6
Authentium 4.93.8 04.27.2007 no virus found
Avast 4.7.981.0 04.26.2007 no virus found
AVG 7.5.0.467 04.29.2007 Adware Generic2.RA
BitDefender 7.2 04.29.2007 Adware.Virtumonde.GEP
CAT-QuickHeal 9.00 04.28.2007 Adware.Virtumonde.gen
ClamAV devel-20070416 04.29.2007 Trojan.Packed-7
DrWeb 4.33 04.29.2007 Trojan.Virtumod
eSafe 7.0.15.0 04.29.2007 no virus found
eTrust-Vet 30.7.3601 04.27.2007 no virus found
Ewido 4.0 04.29.2007 no virus found
FileAdvisor 1 04.29.2007 no virus found
Fortinet 2.85.0.0 04.29.2007 suspicious
F-Prot 4.3.2.48 04.27.2007 no virus found
F-Secure 6.70.13030.0 04.29.2007 no virus found
Ikarus T3.1.1.5 04.29.2007 not-a-virus:AdWare.Win32.Virtumonde.hb
Kaspersky 4.0.2.24 04.29.2007 not-a-virus:AdWare.Win32.Virtumonde.hb
McAfee 5019 04.27.2007 no virus found
Microsoft 1.2405 04.29.2007 no virus found
NOD32v2 2227 04.29.2007 Win32/Adware.Virtumonde
Norman 5.80.02 04.27.2007 W32/Virtumonde.GIT
Panda 9.0.0.4 04.29.2007 no virus found
Prevx1 V2 04.29.2007 no virus found
Sophos 4.17.0 04.28.2007 no virus found
Sunbelt 2.2.907.0 04.19.2007 VIPRE.Suspicious
Symantec 10 04.29.2007 no virus found
TheHacker 6.1.6.088 04.09.2007 no virus found
VBA32 3.11.4 04.29.2007 no virus found
VirusBuster 4.3.7:9 04.29.2007 no virus found
Webwasher-Gateway 6.0.1 04.29.2007 Ad-Spyware.Virtumonde.HB.6

2.) Complete scanning result of "rlbrcsxg.dll", received in VirusTotal at 04.29.2007, 19:45:13 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.4.28.0 04.27.2007 no virus found
AntiVir 7.4.0.15 04.29.2007 TR/Agent.123952
Authentium 4.93.8 04.27.2007 no virus found
Avast 4.7.981.0 04.26.2007 no virus found
AVG 7.5.0.467 04.29.2007 Adware Generic2.DO
BitDefender 7.2 04.29.2007 Trojan.Vundo.AN
CAT-QuickHeal 9.00 04.28.2007 Adware.Virtumonde.gen (Not a Virus)
ClamAV devel-20070416 04.29.2007 Trojan.Packed-7
DrWeb 4.33 04.29.2007 Trojan.Virtumod
eSafe 7.0.15.0 04.29.2007 no virus found
eTrust-Vet 30.7.3601 04.27.2007 no virus found
Ewido 4.0 04.29.2007 no virus found
FileAdvisor 1 04.29.2007 no virus found
Fortinet 2.85.0.0 04.29.2007 suspicious
F-Prot 4.3.2.48 04.27.2007 W32/Adware.IPC
F-Secure 6.70.13030.0 04.29.2007 Vundo.gen18
Ikarus T3.1.1.5 04.29.2007 not-a-virus:AdWare.Win32.Virtumonde.hb
Kaspersky 4.0.2.24 04.29.2007 not-a-virus:AdWare.Win32.Virtumonde.hb
McAfee 5019 04.27.2007 potentially unwanted program Vundo
Microsoft 1.2405 04.29.2007 Trojan:Win32/Vundo.K
NOD32v2 2227 04.29.2007 Win32/Adware.Virtumonde
Norman 5.80.02 04.27.2007 Vundo.gen18
Panda 9.0.0.4 04.29.2007 Spyware/Virtumonde
Prevx1 V2 04.29.2007 no virus found
Sophos 4.17.0 04.28.2007 Virtumundo
Sunbelt 2.2.907.0 04.19.2007 VIPRE.Suspicious
Symantec 10 04.29.2007 Trojan Horse
TheHacker 6.1.6.095 04.15.2007 no virus found
VBA32 3.11.4 04.29.2007 AdWare.Win32.Virtumonde.hb
VirusBuster 4.3.7:9 04.29.2007 Adware.Vundo.Gen!Pac.8
Webwasher-Gateway 6.0.1 04.29.2007 Trojan.Agent.123952


Kann ich diese Dateien einfach fixen??