Hallo zusammen,
wie die Überschrift schon erahnen lässt, habe ich das Problem, dass sich mein Internet Explorer alle 1-2 Stunden von selbst in einem "unschließbaren" Fenster öffnet (unschließbar, weil es kein Schließenbutton hat, dann schließ ichs über den Taskmanager). Das ärgerlich daran ist, dass es mich aus den andren Programmen raushaut und ich so warten muss bis ich die Seite schließen kann.
Wie ich dem Internet(Google, dieser Seite etc.) entnomme habe, bin ich nicht der Erste, der dieses Problem hat, jedoch kann ich mit den andren HijackThis Log-files nix anfangen, weil da nicht das drinsteht, was bei mir drinsteht .
Hier mal mein HijackThis logfile:

Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 18:46:46, on 02.05.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

WO zum Teufel ist Service Pack 2 ?

wow, das geht ja schneller, als ich meine Seite aktualisieren kannxD.
Ich hab kein Service Pack 2, ehrlich gesagt hab ich meinen PC seit der letzten Formation noch nicht per microsoft updater aktualisiert .
Klingt zwar naiv, aber mein Pc hatte eigentlich (bis jetzt) noch keine Probleme mit Viren etc.(die mich nervten)^^.
von daher, muss ich SP2 gleich instalieren oder kann man das Problem vorerst anders beheben?

MFG Gide89

so SP2 ist drauf und alle Updates , beschriebendes Problem existiert jedoch immernoch

hier das aktuelle HIjackThis:


Logfile of HijackThis v1.99.1
Scan saved at 21:51:18, on 06.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Razer\Copperhead\razerhid.exe
C:\WINDOWS\system32\chkdisk.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Razer\Copperhead\razerofa.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\***\Desktop\Neuer Ordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=explorer.exe regchk.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [UninstalTime] chkdisk.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [BLASC] "C:\Programme\World of Warcraft\BLASC\BLASC.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1178280301046
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - h**p://support.f-secure.com/ols/fscax.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://arcade.icq.com/online/online2/bejeweled2/popcaploader_v6.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

würd mich freuen, wenn mir wer helfen könnte

P.s: hab ich richtig editiert?

MFG Gide89

Gut. Dann wartet ein bisschen Arbeit auf dich

Lad die folgenden Dateien bei Virustotal hoch und poste das vollständige Ergebnis.

Zitat:

C:\WINDOWS\system32\chkdisk.exe

Die beiden musst du mal suchen:

Zitat:

explorer.exe + regchk.exe

Wichtig mach vorher alle Dateien sichtbar!

Versteckte Dateien und Ordner sichtbar machen.

so,
schonmal Danke für deine Hilfe
Hier dieses Virustotalteil von der chkdisc.ece-datei:


Complete scanning result of "chkdisk.exe", received in VirusTotal at 05.07.2007, 17:19:16 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.7.1 05.07.2007 no virus found
AntiVir 7.4.0.15 05.07.2007 no virus found
Authentium 4.93.8 05.04.2007 no virus found
Avast 4.7.997.0 05.07.2007 no virus found
AVG 7.5.0.467 05.06.2007 Generic3.SFD
BitDefender 7.2 05.07.2007 no virus found
CAT-QuickHeal 9.00 05.07.2007 (Suspicious) - DNAScan
ClamAV devel-20070416 05.07.2007 no virus found
DrWeb 4.33 05.07.2007 no virus found
eSafe 7.0.15.0 05.07.2007 Suspicious Trojan/Worm
eTrust-Vet 30.7.3616 05.07.2007 no virus found
Ewido 4.0 05.07.2007 no virus found
FileAdvisor 1 05.07.2007 No threat detected
Fortinet 2.85.0.0 05.07.2007 suspicious
F-Prot 4.3.2.48 05.07.2007 no virus found
F-Secure 6.70.13030.0 05.07.2007 no virus found
Ikarus T3.1.1.7 05.07.2007 BehavesLikeTrojan.ShellStartup
Kaspersky 4.0.2.24 05.07.2007 no virus found
McAfee 5024 05.04.2007 no virus found
Microsoft 1.2503 05.07.2007 no virus found
NOD32v2 2247 05.07.2007 probably unknown NewHeur_PE virus
Norman 5.80.02 05.07.2007 no virus found
Panda 9.0.0.4 05.07.2007 Suspicious file
Prevx1 V2 05.07.2007 Covert.Sys.Exec
Sophos 4.17.0 05.05.2007 Mal/Packer
Sunbelt 2.2.907.0 05.05.2007 VIPRE.Suspicious
Symantec 10 05.07.2007 no virus found
TheHacker 6.1.6.108 05.06.2007 no virus found
VBA32 3.11.4 05.07.2007 no virus found
VirusBuster 4.3.7:9 05.07.2007 Packed/FSG
Webwasher-Gateway 6.0.1 05.07.2007 Packer.FSG

Aditional Information
File size: 25817 bytes
MD5: 9edd33c306672cc61d5005c77d5d9f98
SHA1: 055d7f7240334cf364635115c5ad9a198a0497a5
packers: FSG
Bit9 info: =h**p://fileadvisor.bit9.com/services/extinfo.aspx?md5=9edd33c306672cc61d5005c77d5d9f98]Bit9 FileAdvisor - Search Results[/url]
packers: FSG
Prevx info: h**p://fileinfo.prevx.com/fileinfo.asp?PXC=0c9882067126[/url]
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.


zu dem:
Die beiden musst du mal suchen:
Zitat:
explorer.exe + regchk.exe

hab die regchk.exe nicht gefunden, obwohl ich alle ordner eingeblendet habe

bei explorer.exe allein hab ich 4 Funde gehabt:

1. Name: explorer Ort: C:\WINDOWS
2. Name: explorer Otrt C:\WINDOWS\$NtServicePackUninstall$ ( verstecke Datei)
3. Name: EXPLORER.EXE-082F38A9.pf Ort C:\WINDOWS\Prefetch
4. Name: explorer C:\WINDOWS\ServicePackFiles\i386

also zu regchk bzw. regchk.exe hab ich nix gefunden
also ich hab mit der windowssuche da gearbeitet^^

nochmal danke


MFG Gide89

Zitat:

bei explorer.exe allein hab ich 4 Funde gehabt:

1. Name: explorer Ort: C:\WINDOWS

Die ist interessant für uns denk ich mal.

Sieht so aus als hättest du dir einen noch unbekannten Trojaner eingefangen.

Schick die chkdisk.exe mal an das Avira Labor.

sry die Frage ist mir jetzt bissl peinlich, aber wie schick ich was an Avira Labor?

wenn ich grad am "dummen" Fragen stellen bin, wie kann ich die Ergebnisse von Virus Total in einem Fenster posten?

sry nochmal

danke für deine Hilfe

MFG Gide89

Was meinst du mit einem Fenster? So wie du sie eben gepostet hast war es sehr gut
Hier kannst du die Datei uploaden:
Submit your sample

so danke,

Vielen Dank für Ihre Submission. Im folgenden sehen Sie den derzeitigen Status der übermittelten Dateien:

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
19021 explorer.exe 1011 KB KNOWN CLEAN


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
explorer.exe KNOWN CLEAN

Die Datei 'explorer.exe' wurde als 'KNOWN CLEAN' eingestuft. Dies bedeutet, dass wir keine gefährlichen Inhalte finden konnten. Weiterhin haben wir festgestellt, dass diese Datei ein Bestandteil von 'Windows XP (SP2)' ist.


kein Fund

unter eigenschaften steht noch:
erstellt am: Samstag, 18. August 2001, 14:00:00
geändert am: "heute um 19:13"

MFG Gide89

Ok. Ich lag falsch . Also weiter im Programm. Mach einen eScan . Die Anleitung findest du im FAQ-Bereich. Ergebnis bitte mit Hilfe der find.bat posten!

Ahh...Hilfe !!! Du solltest die chkdisk.exe an das Virenlabor schicken! Nicht die explorer.exe... Tut mir Leid, nocheinmal bitte! Verschieb den eScan auf später!

so hier mit der chkdisk.exe

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
538581 chkdisk.exe 25.21 KB UNDER ANALYSIS


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
chkdisk.exe UNDER ANALYSIS

Die Datei 'chkdisk.exe' wurde als 'UNDER ANALYSIS' eingestuft.

MFG Gide89

eben nochmal probiert:

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
538581 chkdisk.exe 25.21 KB MALWARE


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
chkdisk.exe MALWARE

Die Datei 'chkdisk.exe' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben in dieser Datei einen Trojaner gefunden. Diese Art von Programmen verfügt generell über schädliche Funktion, die so genannte Schadensroutine. Ein Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) hinzugefügt werden

MFG Gide89

Toll...wenn man jetzt auch noch die Art des Trojaners wüsste.. Benutzt du IRC?

Durchsuch mal deine Registry(Start - Ausführen - regedit) nach chkdisk.exe!

So wie ich das sehe würd ich neu aufsetzen, da ich auf einen Wurm tippe.