Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Seite öffnet sich immer wieder!

Seite öffnet sich immer wieder!


Log-Analyse und Auswertung: Seite öffnet sich immer wieder!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 01.08.2007, 22:06   #1
skysilver
 
Seite öffnet sich immer wieder! - Standard

Seite öffnet sich immer wieder!


Hallo

Seit kurzem habe ich ein Problem. Diese seite öffnet sich immer wieder > http://demd0.fortunecity.com/ < ohne das ich was mache. Das nervt gewaltig. Ich habe mich auch schon umgeschaut hier aber zu einem richtigen ergebnis bin ich noch nicht gekommen Hoffe ihr könnt mir weiterhelfen . . . hier mal der HijackThis log:

Logfile of HijackThis v1.99.1
Scan saved at 22:45:17, on 01.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\winsys2.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\nsm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\programme\valve\steam\steam.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\MessengerDiscovery\MessengerDiscovery Live.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\MSN Messenger\livecall.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\User\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://http://demd0.fortunecity.com/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://http://demd0.fortunecity.com/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://http://demd0.fortunecity.com/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://demd0.fortunecity.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://http://demd0.fortunecity.com/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://http://demd0.fortunecity.com/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer Highjacked!!
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - C:\Programme\Dealio\kb106\Dealio.dll
O2 - BHO: (no name) - {759977EE-84B4-4A7B-8E1C-1210DDB44163} - C:\WINDOWS\system32\safrslvd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Programme\Dealio\kb106\Dealio.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [au] C:\Programme\Dealio\DealioAU.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [nsm] C:\WINDOWS\system32\nsm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Search - ?p=ZNfox000
O8 - Extra context menu item: Compare Prices with &Dealio - C:\Programme\Dealio\kb106\res\DealioSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Programme\Dealio\kb106\Dealio.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.6.108.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programme\Windows Live\installer\WLSetupSvc.exe

Alt 01.08.2007, 22:36   #2
Franz1968
/// Helfer-Team
 
Seite öffnet sich immer wieder! - Standard

Seite öffnet sich immer wieder!


Hallo,
aufgrund der vorgerückten Stunde ohne Anspruch auf Vollständigkeit:
1. Auf deinem Rechner läuft ein Fernwartungstool ("NetSupport-Manager").
Zitat:
C:\WINDOWS\system32\nsm.exe
Ist das von dir gewollt?

2. Lass mal diese Datei
Zitat:
C:\WINDOWS\system32\winsys2.exe
bei Virustotal auswerten und poste das komplette Ergebnis inkl. den HASH-Werten, ebenso die folgende Datei:
Zitat:
C:\WINDOWS\system32\safrslvd.dll
3. empfehle ich dir einen Scan mit Blacklight von F-Secure; bitte das Log posten.

4. Poste bitte ein neues HJT-Logfile; allerdings benenne zuvor die hijackthis.exe um in hjt.exe, da sich immer mehr Schädlinge vor HijackThis "verbergen".
__________________

__________________
Alt 01.08.2007, 23:29   #3
skysilver
 
Seite öffnet sich immer wieder! - Standard

Seite öffnet sich immer wieder!


Hallo

1.Das dieses Fernwartungstool ("NetSupport-Manager") C:\WINDOWS\system32\nsm.exe bei mir läuft ist nicht gewollt.

2.Ich habe diese datei C:\WINDOWS\system32\winsys2.exe jetzt mal bei Virustotal auswerten lassen. Das Ergebnis:

Datei winsys2.exe empfangen 2007.08.01 23:51:14 (CET)
Status: Beendet
Ergebnis: 0/32 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.2.0 2007.08.01 -
AntiVir 7.4.0.54 2007.08.01 -
Authentium 4.93.8 2007.08.01 -
Avast 4.7.1029.0 2007.08.01 -
AVG 7.5.0.476 2007.08.01 -
BitDefender 7.2 2007.08.01 -
CAT-QuickHeal 9.00 2007.08.01 -
ClamAV 0.91 2007.08.01 -
DrWeb 4.33 2007.08.01 -
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5024 2007.08.01 -
Ewido 4.0 2007.08.01 -
FileAdvisor 1 2007.08.02 -
Fortinet 2.91.0.0 2007.08.01 -
F-Prot 4.3.2.48 2007.08.01 -
F-Secure 6.70.13030.0 2007.08.01 -
Ikarus T3.1.1.8 2007.08.01 -
Kaspersky 4.0.2.24 2007.08.01 -
McAfee 5088 2007.08.01 -
Microsoft 1.2704 2007.08.01 -
NOD32v2 2431 2007.08.01 -
Norman 5.80.02 2007.08.01 -
Panda 9.0.0.4 2007.08.01 -
Prevx1 V2 2007.08.02 -
Rising 19.34.22.00 2007.08.01 -
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.08.01 -
Symantec 10 2007.08.01 -
TheHacker 6.1.7.160 2007.08.01 -
VBA32 3.12.2.2 2007.08.01 -
VirusBuster 4.3.26:9 2007.08.01 -
Webwasher-Gateway 6.0.1 2007.08.01 -
weitere Informationen
File size: 217088 bytes
MD5: 431a18c5e9f8827193afcb74e3880888
SHA1: c7cf0efdde387f2f9bf0b679efc3457fb2b4f007

Die datei C:\WINDOWS\system32\safrslvd.dll ebenfalls bei Virustotal Ergebnis:

Datei safrslvd.dll empfangen 2007.08.02 00:14:58 (CET)
Status: Beendet
Ergebnis: 17/32 (53.13%)


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.2.0 2007.08.01 -
AntiVir 7.4.0.54 2007.08.01 ADSPY/Stud.A.43
Authentium 4.93.8 2007.08.01 -
Avast 4.7.1029.0 2007.08.01 Win32:Trojano-3384
AVG 7.5.0.476 2007.08.01 Adware Generic2.AMI
BitDefender 7.2 2007.08.01 Adware.Stud.Y
CAT-QuickHeal 9.00 2007.08.01 -
ClamAV 0.91 2007.08.01 Trojan.BHO-83
DrWeb 4.33 2007.08.01 -
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5024 2007.08.01 -
Ewido 4.0 2007.08.01 Adware.Stud
FileAdvisor 1 2007.08.02 -
Fortinet 2.91.0.0 2007.08.01 -
F-Prot 4.3.2.48 2007.08.01 W32/Adware.KBB
F-Secure 6.70.13030.0 2007.08.01 -
Ikarus T3.1.1.8 2007.08.01 not-a-virus:AdWare.Win32.Stud.d
Kaspersky 4.0.2.24 2007.08.01 not-a-virus:AdWare.Win32.Stud.a
McAfee 5088 2007.08.01 -
Microsoft 1.2704 2007.08.02 -
NOD32v2 2431 2007.08.01 a variant of Win32/Adware.BHO.AA
Norman 5.80.02 2007.08.01 W32/Stud.AE
Panda 9.0.0.4 2007.08.01 -
Prevx1 V2 2007.08.02 Generic.Malware
Rising 19.34.22.00 2007.08.01 -
Sophos 4.19.0 2007.08.01 MapKon
Sunbelt 2.2.907.0 2007.08.01 -
Symantec 10 2007.08.01 Adware.Webprefix
TheHacker 6.1.7.160 2007.08.01 Adware/Stud.a
VBA32 3.12.2.2 2007.08.01 suspected of Trojan-Downloader.Agent.47
VirusBuster 4.3.26:9 2007.08.01 -
Webwasher-Gateway 6.0.1 2007.08.01 Ad-Spyware.Stud.A.43
weitere Informationen
File size: 15855 bytes
MD5: 2f5ba925c702332177e3fdbe31c61391
SHA1: ca7b1e84e3f51b2879812d91e6122dd4800946dd
packers: UPX
packers: UPX
packers: UPX
packers: UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=61E27C0AEF2894323DBD001B952AFD00BDF08BC9

3. Das Ergebnis vom Blacklight von F-Secure Scan:

08/02/07 00:02:18 [Info]: BlackLight Engine 1.0.64 initialized
08/02/07 00:02:18 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/02/07 00:02:18 [Note]: 7019 4
08/02/07 00:02:18 [Note]: 7005 0
08/02/07 00:02:18 [Note]: 7006 0
08/02/07 00:02:18 [Note]: 7011 1580
08/02/07 00:02:18 [Note]: 7026 0
08/02/07 00:02:18 [Note]: 7026 0
08/02/07 00:02:21 [Note]: FSRAW library version 1.7.1022
08/02/07 00:04:36 [Note]: 2000 1012
08/02/07 00:04:36 [Note]: 7007 0


4. Das neue HJT-Logfile (hjt.exe)

Logfile of HijackThis v1.99.1
Scan saved at 00:26:07, on 02.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\winsys2.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\nsm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\programme\valve\steam\steam.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\MessengerDiscovery\MessengerDiscovery Live.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\MSN Messenger\livecall.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\User\Desktop\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://http://demd0.fortunecity.com/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://http://demd0.fortunecity.com/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://http://demd0.fortunecity.com/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://demd0.fortunecity.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://http://demd0.fortunecity.com/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://http://demd0.fortunecity.com/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer Highjacked!!
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - C:\Programme\Dealio\kb106\Dealio.dll
O2 - BHO: (no name) - {759977EE-84B4-4A7B-8E1C-1210DDB44163} - C:\WINDOWS\system32\safrslvd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Programme\Dealio\kb106\Dealio.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [au] C:\Programme\Dealio\DealioAU.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [nsm] C:\WINDOWS\system32\nsm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Search - ?p=ZNfox000
O8 - Extra context menu item: Compare Prices with &Dealio - C:\Programme\Dealio\kb106\res\DealioSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Programme\Dealio\kb106\Dealio.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.6.108.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programme\Windows Live\installer\WLSetupSvc.exe
__________________
Alt 02.08.2007, 10:30   #4
Arion
 
Seite öffnet sich immer wieder! - Standard

Seite öffnet sich immer wieder!


Hallo!

Erstmal eine Information, die viele hier im Board übersehen: Du verwendest eine veraltete Version des HiJackThis (v1.9.9.1 -> 2.0.0.2).

So nun zur Logauswertung
Fixe folgende Einträge in HiJackThis:
Zitat:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://http://demd0.fortunecity.com/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://http://demd0.fortunecity.com/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://http://demd0.fortunecity.com/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://demd0.fortunecity.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://http://demd0.fortunecity.com/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://http://demd0.fortunecity.com/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer Highjacked!!
O4 - HKLM\..\Run: [nsm] C:\WINDOWS\system32\nsm.exe
O2 - BHO: (no name) - {759977EE-84B4-4A7B-8E1C-1210DDB44163} - C:\WINDOWS\system32\safrslvd.dll
Läuft dieses Tool von dir gewollt?
Zitat:
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
Wenn nicht: Fixen.
Such auch noch unter Start -> Systemsteuerung -> Software, ob du das Tool findest, wenn ja: Deinstallieren.

Dann benötigen wir noch ein neues Logfile (aber diesmal bitte mit einem aktuellen HiJackThis)

Alt 02.08.2007, 10:43   #5
Rene-gad
 
Seite öffnet sich immer wieder! - Standard

Seite öffnet sich immer wieder!


Zitat:
Zitat von Arion Beitrag anzeigen
Erstmal eine Information, die viele hier im Board übersehen: Du verwendest eine veraltete Version des HiJackThis (v1.9.9.1 -> 2.0.0.2).
Das sehen alle . Aber: Die Board-Administration soll den Link in der Anleitung ändern


Alt 02.08.2007, 15:40   #6
skysilver
 
Seite öffnet sich immer wieder! - Standard

Seite öffnet sich immer wieder!


Hallo

Vielen Dank erstmal für die Hilfe. Das Problem scheint behoben. Hier mein neuer Logfile

Logfile of Trend Micro HijackThis v2.0.2
[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Antwort

Themen zu Seite öffnet sich immer wieder!
adobe, antivir, avira, bho, compare, desktop, dll, einstellungen, explorer, helper, hijack, hijackthis, hijackthis log, immer wieder, internet, internet explorer, log, magix, nvidia, object, pdf, pop-up-blocker, programme, rundll, server, shockwave, software, system, urlsearchhook, windows, windows xp, öffnet


« Bitte um Hilfe beim logfile (HTJ-Anfänger) | PC lahmt.. trotz google keine ahnung warum.. »


Ähnliche Themen: Seite öffnet sich immer wieder!


  1. Beim Klicken auf einen Menüpunkt öffnet sich immer zusätzlich die gleiche fremde Seite
    Plagegeister aller Art und deren Bekämpfung - 08.03.2015 (5)
  2. Tab öffnet sich selbständig immer wieder
    Log-Analyse und Auswertung - 16.08.2014 (15)
  3. websearches öffnet sich immer wieder!
    Plagegeister aller Art und deren Bekämpfung - 14.06.2014 (10)
  4. Adserver Popup öffnet sich immer wieder
    Plagegeister aller Art und deren Bekämpfung - 08.07.2013 (13)
  5. iexplorer.exe öffnet sich immer wieder
    Log-Analyse und Auswertung - 24.07.2012 (1)
  6. Beim Start öffnet sich immer kurz ein scwarzes fenster + Opera öffnet immer eine Seite
    Log-Analyse und Auswertung - 06.06.2011 (10)
  7. Fenster öffnet sich immer wieder mit Werbung
    Plagegeister aller Art und deren Bekämpfung - 12.10.2010 (2)
  8. internet explorer öffnet sich immer wieder
    Log-Analyse und Auswertung - 25.04.2010 (2)
  9. Internet Explorer öffnet sich immer wieder
    Log-Analyse und Auswertung - 10.04.2010 (6)
  10. schlimmer virus, explorer öffnet sich immer wieder...
    Log-Analyse und Auswertung - 31.03.2010 (8)
  11. Internet Explorer öffnet sich immer wieder
    Log-Analyse und Auswertung - 03.02.2010 (1)
  12. Google öffnet falsche Seiten, Spybot öffnet sich nicht und PC geht immer wieder aus
    Plagegeister aller Art und deren Bekämpfung - 26.08.2009 (8)
  13. IE Öffnet sich immer wieder, Popups alle 2-5min!
    Plagegeister aller Art und deren Bekämpfung - 05.02.2009 (2)
  14. Media Player öffnet sich selbstständig immer und immer wieder
    Log-Analyse und Auswertung - 30.10.2008 (0)
  15. Explorer öffnet sich immer mit der Seite securepccleaner
    Log-Analyse und Auswertung - 11.01.2008 (2)
  16. Outlook Express öffnet sich immer wieder von selbst
    Log-Analyse und Auswertung - 17.03.2005 (6)
  17. Hilfe! Es öffnet sich immer eine search for.. seite!!
    Log-Analyse und Auswertung - 22.02.2005 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Seite öffnet sich immer wieder! - Hallo Seit kurzem habe ich ein Problem. Diese seite öffnet sich immer wieder > http://demd0.fortunecity.com/ < ohne das ich was mache. Das nervt gewaltig. Ich habe mich auch schon umgeschaut - Seite öffnet sich immer wieder!...
Archiv
Du betrachtest: Seite öffnet sich immer wieder! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19