Hallo,

habe folgendes Problem. Seit ca. 3 Tagen öffnet der IE7 selbstständig Werbefenster (nein ich will keinen VW kaufen, oder reisen mit Neckermann, oder bei Quelle bestellen ... ... ) Das geschieht immer wenn der IE gestartet wird und während er läuft, dann aber in größeren, scheinbar willkürlichen Zeitabständen.
Weder AVG noch Avira finden irgendwas Verdächtiges. Recherche im Internet brachte zwar 'nen Verdächtigen (Look2me??) aber sicher bin ich mir in dem Falle nicht.
Wär schön wenn jemand mal drüberschaut und mir sagen kann ob da was Auffälliges bei ist.

LG und danke im Voraus
Teena


PS:
bitte keine Spezialisten die mir nur empfehlen den Computer zu formatieren, das ist noch keine Option.

PPS: AVG und Avira sind gewöhnlich nicht zusammen auf dem Rechner, nur jetzt zwecks 2ter Meinung, Avira ist abgeschaltet gewesen als AVG gestartet war.





HighJackThis sagt folgendes




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:07:02, on 08.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\dokumente und einstellungen\nutzer\lokale einstellungen\anwendungsdaten\rmwcdhrn.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Programme\AVG\AVG8\avgtray.exe
C:\Programme\AVG\AVG8\avgui.exe
C:\Programme\AVG\AVG8\avgscanx.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\Explorer.EXE
D:\this\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {0A94B116-4504-4e26-AB05-E61E474AA38B} - C:\Programme\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IEPro\iepro.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Ask Search Assistant BHO - {0A94B111-4504-4e26-AB05-E61E474AA38B} - C:\Programme\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Philips Intelligent Agent] "C:\Programme\Philips\Intelligent Agent\Philips Intelligent Agent.exe" /SILENT
O4 - HKCU\..\Run: [rmwcdhrn] "c:\dokumente und einstellungen\nutzer\lokale einstellungen\anwendungsdaten\rmwcdhrn.exe" rmwcdhrn
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1209923080203
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - h**p://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1221752494593
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7212 bytes

... hülfe ???

Hallo gewittertee,

zunächst möchte ich Dir sagen, dass man eine so ausführliche und strukturierte Problembeschreibung wie Deine leider nur selten liest... sehr schön !

Zitat:

O4 - HKCU\..\Run: [rmwcdhrn] "c:\dokumente und einstellungen\nutzer\lokale einstellungen\anwendungsdaten\rmwcdhrn.exe" rmwcdhrn

Kannst du das irgendwie zuorden? Wenn nein bitte die Datei aus dem Autostart nehmen: Start-> Ausführen-> msconfig-> OK-> Autostart und hier das Häkchen raus nehmen.

Dann bitte die Datei von Hand suchen und löschen. Wenn das nicht möglich ist, den Rechner neu starten so das sie nicht mehr als aktiver Prozess läuft, der Autostart ist ja nun deaktiviert.

Lade dir http://www.trojaner-board.de/51187-a...i-malware.html herunter, mache ein Update, lasse das Programm suchen und lösche alles gefundene.

Lade dir den http://www.trojaner-board.de/51464-a...-ccleaner.html herunter (ohne die Toolbar) und räume Deinen Rechner auf (den Registry- Cleaner bitte mehrfach laufen lassen bis nichts mehr gefunden wird).

Berichte uns dann ob Du weiterhin Probleme hast.

Beste Grüße

Jaipur

Hallo Jaipur,
vielen vielen dank für die Antwort, Hilfe und das Lob ;-) (Immerhin will ich ja was von euch und da sollte ich es schon so gut wie möglich vorarbeiten^^.)

Die Datei hatte ich auch schon im Auge, da es aber nicht mein PC ist konnte ich zunächst nicht sagen, ob sie da hin gehörte oder nicht. ^^'

VirusTotal gab eine Warnung für die Datei aus, die da besagte Trojan:Win32/Skintrim.gen!D(von Microsoft) (falls gewünscht auch ganzes Log vorhanden)

Das war echt ein kleiner Kampf das Ding zu killen. Ich hoffe es hat was gebracht. Das gute Stück hatte - nachdem ich es aus dem Autostart entfernt hatte - seinen Systemstarteintrag einfach mal verdoppelt. Löschen ging zunächst nicht. Die Dateien wurden trotz eingeschalteter Option "Versteckte Dateien anzeigen" nicht angezeigt. Suche nach dem Namen hat dann geholfen... es stellte sich raus, dass die exe doch glatt ihre gesamte Familie mitgebracht hatte ;-) Cleaner laufen jetzt gleich durch und dann werde ich hoffnungsvoll nochmal neustarten.
Ich meld mich wieder und sag bescheid obs funktioniert hat.

LG und dankeschön nochmal (ja ich freu mich^^)

Moin Jaipur,


hat wohl funktioniert , keine Werbefenster mehr, Prozess ist weg, Cleaner sagen Rechner ist sauber^^. JUHU


LG Teena