Hijack Problem - Tabs im IE öffnen sich automatisch

Moneystarr · 04.07.2008, 21:00

Hallo Leute! Seiten einigen Tagen habe ich folgendes Problem:
Immer wenn ich sure öffnen sich im IE immer wieder neue Tabs/Fenster mit Werbung (seriös/unseriös). Habe bei mir schon mal rumgefagt und da wurde mir der Begriff HiJack genannt. Habe mir mittlerweile zwei Programme dazu besorgt: Hijackthis und Spyware Doctor
Nach Scans usw. habe ich aber immer noch das Problem.
Habe auch ein Protokoll und hoffe ihr könnt mir dabei helfen. Danke schon mal!!!!!!!!!!!!!!!!!!!!!! (Ich hoffe es ist das richtige Protokoll) :-)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:41:45, on 04.07.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\agrsmsvc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\WEB.DE SmartSurfer\SmurfService.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\ehome\ehtray.exe
C:\Users\Nadja\AppData\Local\cwagkeg.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9f.exe
C:\Program Files\HijackThis\HijackThis.exe
C:\Windows\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sagmirwasdudenkst.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [cwagkeg] c:\users\nadja\appdata\local\cwagkeg.exe cwagkeg
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: SmartSurfer Manager (SmartSurferManager) - United Internet AG - C:\Program Files\WEB.DE SmartSurfer\SmurfService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe

--
End of file - 8861 bytes

Vista_User · 05.07.2008, 07:28

Bitte bei www.virustotal.com prüfen lassen und Ergebnis posten:

C:\Users\Nadja\AppData\Local\cwagkeg.exe

LG
V_U

Moneystarr · 05.07.2008, 09:25

Hi! Habe es gerade gemacht und folgendes Ergebnis:
(Die Sachen de er mir rot angezeigt hat, habe ich ml fett gemacht.
Was und we kann ich da jetzt was machen. Danke im Voraus!

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.4.1 2008.07.04 -
AntiVir 7.8.0.64 2008.07.04 -
Authentium 5.1.0.4 2008.07.04 -
Avast 4.8.1195.0 2008.07.04 Win32:Roodro
AVG 7.5.0.516 2008.07.04 -
BitDefender 7.2 2008.07.05 -
CAT-QuickHeal 9.50 2008.07.04 Win32.Trojan.Obfuscated.aqn.3
ClamAV 0.93.1 2008.07.04 -
DrWeb 4.44.0.09170 2008.07.05 Trojan.Packed.562
eSafe 7.0.17.0 2008.07.03 -
eTrust-Vet 31.6.5929 2008.07.05 -
Ewido 4.0 2008.07.04 -
F-Prot 4.4.4.56 2008.07.04 -
F-Secure 7.60.13501.0 2008.07.03 -
Fortinet 3.14.0.0 2008.07.04 -
GData 2.0.7306.1023 2008.07.04 Win32:Roodro
Ikarus T3.1.1.26.0 2008.07.05 -
Kaspersky 7.0.0.125 2008.07.05 -
McAfee 5332 2008.07.04 -
Microsoft 1.3704 2008.07.05 Trojan:Win32/Skintrim.B
NOD32v2 3244 2008.07.05 -
Norman 5.80.02 2008.07.04 -
Panda 9.0.0.4 2008.07.04 -
Prevx1 V2 2008.07.05 -
Rising 20.51.42.00 2008.07.04 -
Sophos 4.31.0 2008.07.05 -
Sunbelt 3.1.1509.1 2008.07.04 -
Symantec 10 2008.07.05 -
TheHacker 6.2.96.371 2008.07.04 -
TrendMicro 8.700.0.1004 2008.07.04 -
VBA32 3.12.6.8 2008.07.04 -
VirusBuster 4.5.11.0 2008.07.04 -
Webwasher-Gateway 6.6.2 2008.07.05 -
weitere Informationen
File size: 356352 bytes
MD5...: 58792912419cc9318ec7120d7c9a8672
SHA1..: 3b2b600fcd34de34220740f54fca37479070b2e2
SHA256: 687fe1eb1f872f88b1f323f6e34b326d34bee9f206832b17ee815da2869c963b
SHA512: c8989bcbedfd8f3454b05929c55a98f926a8a313c4aab94d1b8c9c0770366289
8296581cfcefd004ee72223e8057e925238c5e5e5ef6c33e649c557eb1789ef8
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401145
timedatestamp.....: 0x464ea0c6 (Sat May 19 07:01:26 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4ae19 0x4b000 7.77 ede8f86b4bb2fdcef63faada51a84f41
.rdata 0x4c000 0x1436 0x2000 4.09 c57d0c97ee277880a33bc9d111230952
.data 0x4e000 0x8618 0x9000 3.39 e1f42b7ac66bf37cab367cebb653f557

( 11 imports )
> KERNEL32.dll: SetMailslotInfo, DeleteCriticalSection, GetDriveTypeA, CreateMutexW, GetBinaryTypeA, GetStringTypeExW, RemoveDirectoryW, GetTapeParameters, ReleaseSemaphore, lstrcpyA, GetEnvironmentVariableW, EraseTape, PeekNamedPipe, QueryDosDeviceA, GetLocaleInfoW, PurgeComm, FindFirstFileW, WriteProcessMemory, GetConsoleCursorInfo, GetCommandLineW, CancelIo, WriteFile, GetPrivateProfileStringA, ConnectNamedPipe, IsProcessorFeaturePresent, GetCommConfig, _hread, GetVolumeInformationW, GetCompressedFileSizeW, PeekConsoleInputW, GetPrivateProfileSectionW, SetCurrentDirectoryA, GetLogicalDriveStringsA, GlobalGetAtomNameW, FileTimeToLocalFileTime, IsDBCSLeadByteEx, OpenMutexA, VirtualProtect, GetVersionExA, GlobalDeleteAtom, DosDateTimeToFileTime, SuspendThread, SetEnvironmentVariableA, CreateEventA, GetFullPathNameA, GetStartupInfoA, SetSystemTime, ReadConsoleInputW, GetFileAttributesA, GetFileInformationByHandle, EnumResourceNamesA, GetProfileStringA, FindResourceExW, MoveFileW, EnumSystemCodePagesW, GetVersion, GetModuleHandleA, SetEndOfFile, CloseHandle, GetTempFileNameA, GlobalFlags, GetPrivateProfileStringW, EnumSystemCodePagesA, GetShortPathNameA, AreFileApisANSI, lstrcpynA, SizeofResource, ScrollConsoleScreenBufferA, GetCommandLineA, SetupComm, ExitProcess
> USER32.dll: EnumDisplaySettingsW, ChangeDisplaySettingsA, DefFrameProcW, DrawAnimatedRects, EnumDisplayMonitors, IsWindowUnicode, EnumDesktopsW, SetClassLongA, GetMessageExtraInfo, GetSysColorBrush, ArrangeIconicWindows, LoadBitmapW, UnhookWindowsHookEx, CloseClipboard, DestroyMenu, EndMenu, GetCursorPos, DrawFrameControl, GetWindowThreadProcessId, MessageBoxIndirectW, DialogBoxIndirectParamW, SetMenuDefaultItem, EnumDesktopWindows, TranslateMessage, LoadCursorA, RegisterHotKey, SetSysColors, SetCursorPos, GetClassInfoExW, IsWindowVisible, CheckMenuRadioItem, OpenInputDesktop, SetMenuItemBitmaps, GetNextDlgTabItem, LoadMenuIndirectA, BroadcastSystemMessageA, RegisterClassW, CharNextExA, CreateWindowExW, SetScrollInfo, LoadKeyboardLayoutA, TabbedTextOutW, CreateCursor, SystemParametersInfoA, GetKeyState
> GDI32.dll: GetEnhMetaFileBits, EnumFontsA, DPtoLP, GetWindowExtEx, GetCharacterPlacementA, CreatePolygonRgn, GetTextExtentExPointW, GetPixel, SetDIBitsToDevice, DeleteEnhMetaFile, CreateDIBSection
> comdlg32.dll: GetSaveFileNameW, PageSetupDlgA, PrintDlgA, FindTextA
> ADVAPI32.dll: AccessCheck, EnumDependentServicesW, CryptImportKey, DuplicateTokenEx, SetKernelObjectSecurity, CryptCreateHash, RegEnumKeyW, MakeSelfRelativeSD, RegQueryValueA, RegCreateKeyExW, DeregisterEventSource, AddAce, ControlService, StartServiceCtrlDispatcherW, RegQueryInfoKeyW, GetSecurityDescriptorSacl, LookupAccountNameA
> SHELL32.dll: SHGetSpecialFolderLocation, SHFileOperationA
> ole32.dll: CoUninitialize, CoRegisterMallocSpy, OleInitialize
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -
> COMCTL32.dll: ImageList_DrawEx
> SHLWAPI.dll: StrChrIA, StrCmpNIA, SHSetThreadRef, PathFileExistsW, StrCmpW, StrChrW, SHStrDupW, StrCmpNIW
> SETUPAPI.dll: SetupDiClassNameFromGuidExA, SetupDiEnumDeviceInterfaces, SetupDiGetDeviceInstallParamsW, SetupDiClassGuidsFromNameW, SetupGetLineCountA, SetupDiGetClassDescriptionW, SetupDiRemoveDevice

( 0 exports )

Moneystarr · 05.07.2008, 21:51

Kann mr keiner helfen????

Moneystarr · 08.07.2008, 11:06

Kann mir wirklich Keiner helfen????? Bitte!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

myrtille · 09.07.2008, 08:43

Hi,
ich übernehm mal, keine Ahnung wo Vista_user hin ist.

Deaktiviere den UAC-User Account Control -(dran denken ihn danach wieder zu aktivieren).

Start> Systemsteuerung
Doppelklick aufBenutzerkonten
Klicke auf Deaktivieren und bestätige.
Lade dir nun Navilog herunter indem du den Link per Rechtsklick anwähghlst und Speichern unter anwählst. Speicher die Datei auf deinem Desktop
Rufe navilog1.exe per Rechtsklick auf und wähle "Ausführen als Administrator" aus um das Programm zu installieren.

Rufe die Verknüpfung zu Navilog per Rechtsklick auf und wähle "Ausführen als Admininstrator" aus

Wähle E für Englisch im Sprachenmenü
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

lg myrtille

Hijack Problem - Tabs im IE öffnen sich automatisch

Log-Analyse und Auswertung: Hijack Problem - Tabs im IE öffnen sich automatisch