|
Plagegeister aller Art und deren Bekämpfung: Werbeseiten öffnen dauerhaft ungewolltWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
28.11.2008, 19:46 | #1 |
| Werbeseiten öffnen dauerhaft ungewollt Hallo, ich habe schon seit einiger Zeit das Problem das sich bei jeder Internet Explorersite die ich öffne eine neue Werbseseite in einem neuen Fenster mitöffnet. Ich habe bereits 2 Virenscanner übers System laufen lassen (avast, antivir). Die haben auch gleich Viren gefunden die ich entfernt habe. trotzdem besteht das problem weiterhin. Wäre nett wenn mir jemand helfen könnte Hier mein System: Mirosoft Windows XP Home Edition Version 2002 SP 2 Internet Explorer 8 Virenscanner: Avast, Antivir Firewall aktiv Windows defender aktiv Hier mein HJT Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:20:35, on 28.11.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.17184) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\TUProgSt.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Windows Defender\MSASCui.exe C:\Programme\Alwil Software\Avast4\ashDisp.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\SoftwareDistribution\Download\f14fd8e5430c9159611462b685a23f24\update\update.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.1.1 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe O2 - BHO: {04b5fa34-ff38-8b19-5904-413bb7661d30} - {03d1667b-b314-4095-91b8-83ff43af5b40} - C:\WINDOWS\system32\wtghql.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [avast!] "C:\Programme\Alwil Software\Avast4\ashDisp.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1227895651771 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O20 - AppInit_DLLs: wtghql.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe -- End of file - 6665 bytes Dnake schon im Vorraus |
28.11.2008, 20:11 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Werbeseiten öffnen dauerhaft ungewollt Hallo und
__________________Zitat:
Warum eigentlich schon IE8? Der ist noch im Betastadium! Derfür fehlt allerdings das SP3 für XP. Updaten an falscher Stelle könnte man das nennen Acker diese Punkte für weitere Analysen ab: 1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code:
ATTFilter C:\WINDOWS\system32\wtghql.dll 3.) Führe dieses MBR-Tool aus und poste die Ausgabe 4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten. Vor dem Ausführen von Malwarebytes den Wächter Deines Virenscanners abschalten!! 5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken. 6.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. 8.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
__________________ |
28.11.2008, 20:21 | #3 | ||
| Werbeseiten öffnen dauerhaft ungewolltZitat:
Zitat:
ok ich werde mich mal an die einzelnen punkte begeben danke |
29.11.2008, 20:27 | #4 |
| Werbeseiten öffnen dauerhaft ungewollt Ok habe mich mal rangesetzt und alles gemacht. Also zuerstmal habe ich mitlerweile Sp3 für mein XP. Ausserdem habe ich AntiVir gekickt und nutze jetzt nurnoch Avast. Und ich bin wieder auf den MSIE 7 umgestiegen. Und hier die Files: 1.) Das mit Virustotal hat nicht geklappt weil die Datei bei mir angeblich nicht existiert. 2.) Alte Systemwiederherstellungspunkte sind alle gelöscht 3.) Das MBR-Tool habe ich ausgeführt das einzigste was dabei rauskam war das (ich weiß nicht ob das richtg ist so): Code:
ATTFilter Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK Code:
ATTFilter 11/29/08 19:23:16 [Info]: BlackLight Engine 2.2.1092 initialized 11/29/08 19:23:16 [Info]: OS: 5.1 build 2600 (Service Pack 2) 11/29/08 19:23:17 [Note]: 7019 4 11/29/08 19:23:17 [Note]: 7005 0 11/29/08 19:24:27 [Note]: 7006 0 11/29/08 19:24:27 [Note]: 7011 524 11/29/08 19:24:28 [Note]: 7035 0 11/29/08 19:24:28 [Note]: 7026 0 11/29/08 19:24:28 [Note]: 7026 0 11/29/08 19:24:36 [Note]: FSRAW library version 1.7.1024 11/29/08 19:24:36 [Note]: 2000 1006 11/29/08 19:24:36 [Note]: 2000 1006 11/29/08 19:24:37 [Note]: 2000 1006 11/29/08 19:24:37 [Note]: 2000 1006 11/29/08 19:24:37 [Note]: 2000 1006 11/29/08 19:24:37 [Note]: 2000 1006 11/29/08 19:24:37 [Note]: 2000 1006 11/29/08 19:24:37 [Note]: 2000 1006 11/29/08 19:24:37 [Note]: 2000 1006 11/29/08 19:24:37 [Note]: 2000 1006 11/29/08 19:24:37 [Note]: 2000 1006 11/29/08 19:24:37 [Note]: 2000 1006 11/29/08 19:24:37 [Note]: 2000 1006 11/29/08 19:24:37 [Note]: 2000 1006 11/29/08 19:24:37 [Note]: 2000 1006 11/29/08 19:24:37 [Note]: 2000 1006 11/29/08 19:24:37 [Note]: 2000 1006 11/29/08 19:24:38 [Note]: 2000 1006 11/29/08 19:24:38 [Note]: 2000 1006 11/29/08 19:24:38 [Note]: 2000 1006 11/29/08 19:24:38 [Note]: 2000 1006 11/29/08 19:24:38 [Note]: 2000 1006 11/29/08 19:24:38 [Note]: 2000 1006 11/29/08 19:24:38 [Note]: 2000 1006 11/29/08 19:24:38 [Note]: 2000 1006 11/29/08 19:24:38 [Note]: 2000 1006 11/29/08 19:24:38 [Note]: 2000 1006 11/29/08 19:24:38 [Note]: 2000 1006 11/29/08 19:24:38 [Note]: 2000 1006 11/29/08 19:24:38 [Note]: 2000 1006 11/29/08 19:24:38 [Note]: 2000 1006 11/29/08 19:24:38 [Note]: 2000 1006 11/29/08 19:24:38 [Note]: 2000 1006 11/29/08 19:24:38 [Note]: 2000 1006 11/29/08 19:24:39 [Note]: 2000 1006 11/29/08 19:24:39 [Note]: 2000 1006 11/29/08 19:24:39 [Note]: 2000 1006 11/29/08 19:24:39 [Note]: 2000 1006 11/29/08 19:24:39 [Note]: 2000 1006 11/29/08 19:24:39 [Note]: 2000 1006 11/29/08 19:24:39 [Note]: 2000 1006 11/29/08 19:24:39 [Note]: 2000 1006 11/29/08 19:24:39 [Note]: 2000 1006 11/29/08 19:24:39 [Note]: 2000 1006 11/29/08 19:24:39 [Note]: 2000 1006 11/29/08 19:24:39 [Note]: 2000 1006 11/29/08 19:24:39 [Note]: 2000 1006 11/29/08 19:24:39 [Note]: 2000 1006 11/29/08 19:24:39 [Note]: 2000 1006 11/29/08 19:24:39 [Note]: 2000 1006 11/29/08 19:24:39 [Note]: 2000 1006 11/29/08 19:24:39 [Note]: 2000 1006 11/29/08 19:24:39 [Note]: 2000 1006 11/29/08 19:24:39 [Note]: 2000 1006 11/29/08 19:24:39 [Note]: 2000 1006 11/29/08 19:24:40 [Note]: 2000 1006 11/29/08 19:24:40 [Note]: 2000 1006 11/29/08 19:24:40 [Note]: 2000 1006 11/29/08 19:24:40 [Note]: 2000 1006 11/29/08 19:24:40 [Note]: 2000 1006 11/29/08 19:24:40 [Note]: 2000 1006 11/29/08 19:24:40 [Note]: 2000 1006 11/29/08 19:24:40 [Note]: 2000 1006 11/29/08 19:24:40 [Note]: 2000 1006 11/29/08 19:24:40 [Note]: 2000 1006 11/29/08 19:24:40 [Note]: 2000 1006 11/29/08 19:24:40 [Note]: 2000 1006 11/29/08 19:24:40 [Note]: 2000 1006 11/29/08 19:24:40 [Note]: 2000 1006 11/29/08 19:24:40 [Note]: 2000 1006 11/29/08 19:24:40 [Note]: 2000 1006 11/29/08 19:24:41 [Note]: 2000 1006 11/29/08 19:24:41 [Note]: 2000 1006 11/29/08 19:24:41 [Note]: 2000 1006 11/29/08 19:24:41 [Note]: 2000 1006 11/29/08 19:24:41 [Note]: 2000 1006 11/29/08 19:24:41 [Note]: 2000 1006 11/29/08 19:24:41 [Note]: 2000 1006 11/29/08 19:24:41 [Note]: 2000 1006 11/29/08 19:24:41 [Note]: 2000 1006 11/29/08 19:24:41 [Note]: 2000 1006 11/29/08 19:24:41 [Note]: 2000 1006 11/29/08 19:24:41 [Note]: 2000 1006 11/29/08 19:24:41 [Note]: 2000 1006 11/29/08 19:24:41 [Note]: 2000 1006 11/29/08 19:24:41 [Note]: 2000 1006 11/29/08 19:24:42 [Note]: 2000 1006 11/29/08 19:24:42 [Note]: 2000 1006 11/29/08 19:24:42 [Note]: 2000 1006 11/29/08 19:24:42 [Note]: 2000 1006 11/29/08 19:24:42 [Note]: 2000 1006 11/29/08 19:24:42 [Note]: 2000 1006 11/29/08 19:24:42 [Note]: 2000 1006 11/29/08 19:24:42 [Note]: 2000 1006 11/29/08 19:24:42 [Note]: 2000 1006 11/29/08 19:24:42 [Note]: 2000 1006 11/29/08 19:24:42 [Note]: 2000 1006 11/29/08 19:24:42 [Note]: 2000 1006 11/29/08 19:24:42 [Note]: 2000 1006 11/29/08 19:24:42 [Note]: 2000 1006 11/29/08 19:24:42 [Note]: 2000 1006 11/29/08 19:24:42 [Note]: 2000 1006 11/29/08 19:24:42 [Note]: 2000 1006 11/29/08 19:24:42 [Note]: 2000 1006 11/29/08 19:24:42 [Note]: 2000 1006 11/29/08 19:24:42 [Note]: 2000 1006 11/29/08 19:24:43 [Note]: 2000 1006 11/29/08 19:24:43 [Note]: 2000 1006 11/29/08 19:24:43 [Note]: 2000 1006 11/29/08 19:24:43 [Note]: 2000 1006 11/29/08 19:24:43 [Note]: 2000 1006 11/29/08 19:24:43 [Note]: 2000 1006 11/29/08 19:24:43 [Note]: 2000 1006 11/29/08 19:24:43 [Note]: 2000 1006 11/29/08 19:24:43 [Note]: 2000 1006 11/29/08 19:24:43 [Note]: 2000 1006 11/29/08 19:24:43 [Note]: 2000 1006 11/29/08 19:24:43 [Note]: 2000 1006 11/29/08 19:24:43 [Note]: 2000 1006 11/29/08 19:24:43 [Note]: 2000 1006 11/29/08 19:24:43 [Note]: 2000 1006 11/29/08 19:24:43 [Note]: 2000 1006 11/29/08 19:24:43 [Note]: 2000 1006 11/29/08 19:24:44 [Note]: 2000 1006 11/29/08 19:24:44 [Note]: 2000 1006 11/29/08 19:24:44 [Note]: 2000 1006 11/29/08 19:24:44 [Note]: 2000 1006 11/29/08 19:24:44 [Note]: 2000 1006 11/29/08 19:24:44 [Note]: 2000 1006 11/29/08 19:24:44 [Note]: 2000 1006 11/29/08 19:24:44 [Note]: 2000 1006 11/29/08 19:24:44 [Note]: 2000 1006 11/29/08 19:24:44 [Note]: 2000 1006 11/29/08 19:24:44 [Note]: 2000 1006 11/29/08 19:24:44 [Note]: 2000 1006 11/29/08 19:24:44 [Note]: 2000 1006 11/29/08 19:24:44 [Note]: 2000 1006 11/29/08 19:24:44 [Note]: 2000 1006 11/29/08 19:24:44 [Note]: 2000 1006 11/29/08 19:24:44 [Note]: 2000 1006 11/29/08 19:24:44 [Note]: 2000 1006 11/29/08 19:24:44 [Note]: 2000 1006 11/29/08 19:24:44 [Note]: 2000 1006 11/29/08 19:24:44 [Note]: 2000 1006 11/29/08 19:24:45 [Note]: 2000 1006 11/29/08 19:24:45 [Note]: 2000 1006 11/29/08 19:24:45 [Note]: 2000 1006 11/29/08 19:24:45 [Note]: 2000 1006 11/29/08 19:24:45 [Note]: 2000 1006 11/29/08 19:24:45 [Note]: 2000 1006 11/29/08 19:24:45 [Note]: 2000 1006 11/29/08 19:24:45 [Note]: 2000 1006 11/29/08 19:24:45 [Note]: 2000 1006 11/29/08 19:24:45 [Note]: 2000 1006 11/29/08 19:24:45 [Note]: 2000 1006 11/29/08 19:24:45 [Note]: 2000 1006 11/29/08 19:24:45 [Note]: 2000 1006 11/29/08 19:24:45 [Note]: 2000 1006 11/29/08 19:24:45 [Note]: 2000 1006 11/29/08 19:24:45 [Note]: 2000 1006 11/29/08 19:24:45 [Note]: 2000 1006 11/29/08 19:24:45 [Note]: 2000 1006 11/29/08 19:24:46 [Note]: 2000 1006 11/29/08 19:24:46 [Note]: 2000 1006 11/29/08 19:24:46 [Note]: 2000 1006 11/29/08 19:24:46 [Note]: 2000 1006 11/29/08 19:24:46 [Note]: 2000 1006 11/29/08 19:24:46 [Note]: 2000 1006 11/29/08 19:24:46 [Note]: 2000 1006 11/29/08 19:24:46 [Note]: 2000 1006 11/29/08 19:24:46 [Note]: 2000 1006 11/29/08 19:24:46 [Note]: 2000 1006 11/29/08 19:24:46 [Note]: 2000 1006 11/29/08 19:24:46 [Note]: 2000 1006 11/29/08 19:24:46 [Note]: 2000 1006 11/29/08 19:24:46 [Note]: 2000 1006 11/29/08 19:24:46 [Note]: 2000 1006 11/29/08 19:24:46 [Note]: 2000 1006 11/29/08 19:24:46 [Note]: 2000 1006 11/29/08 19:24:46 [Note]: 2000 1006 11/29/08 19:24:46 [Note]: 2000 1006 11/29/08 19:24:46 [Note]: 2000 1006 11/29/08 19:24:46 [Note]: 2000 1006 11/29/08 19:24:46 [Note]: 2000 1006 11/29/08 19:24:47 [Note]: 2000 1006 11/29/08 19:24:47 [Note]: 2000 1006 11/29/08 19:24:47 [Note]: 2000 1006 11/29/08 19:24:47 [Note]: 2000 1006 11/29/08 19:24:47 [Note]: 2000 1006 11/29/08 19:24:47 [Note]: 2000 1006 11/29/08 19:24:47 [Note]: 2000 1006 11/29/08 19:24:47 [Note]: 2000 1006 11/29/08 19:24:47 [Note]: 2000 1006 11/29/08 19:24:47 [Note]: 2000 1006 11/29/08 19:24:47 [Note]: 2000 1006 11/29/08 19:24:47 [Note]: 2000 1006 11/29/08 19:24:47 [Note]: 2000 1006 11/29/08 19:24:47 [Note]: 2000 1006 11/29/08 19:24:47 [Note]: 2000 1006 11/29/08 19:24:47 [Note]: 2000 1006 11/29/08 19:24:47 [Note]: 2000 1006 11/29/08 19:24:47 [Note]: 2000 1006 11/29/08 19:24:47 [Note]: 2000 1006 11/29/08 19:24:48 [Note]: 2000 1006 11/29/08 19:24:48 [Note]: 2000 1006 11/29/08 19:24:48 [Note]: 2000 1006 11/29/08 19:24:48 [Note]: 2000 1006 11/29/08 19:24:48 [Note]: 2000 1006 11/29/08 19:24:48 [Note]: 2000 1006 11/29/08 19:24:48 [Note]: 2000 1006 11/29/08 19:24:49 [Note]: 2000 1006 11/29/08 19:24:49 [Note]: 2000 1006 11/29/08 19:24:49 [Note]: 2000 1006 11/29/08 19:24:49 [Note]: 2000 1006 11/29/08 19:24:49 [Note]: 2000 1006 11/29/08 19:24:50 [Note]: 2000 1006 11/29/08 19:24:50 [Note]: 2000 1006 11/29/08 19:24:50 [Note]: 2000 1006 11/29/08 19:24:50 [Note]: 2000 1006 11/29/08 19:24:50 [Note]: 2000 1006 11/29/08 19:24:51 [Note]: 2000 1006 11/29/08 19:24:51 [Note]: 2000 1006 11/29/08 19:24:55 [Note]: 2000 1012 11/29/08 19:24:55 [Note]: 2000 1006 11/29/08 19:24:55 [Note]: 2000 1006 11/29/08 19:24:55 [Note]: 2000 1006 11/29/08 19:25:23 [Note]: 7007 0 5.) Silentrunners Log: File-Upload.net - SilentrunnersLog.zip 6.) CombiFix Log: File-Upload.net - ComboFix.zip 7.) Filelisting Log: File-Upload.net - Filelisting.zip 8.) und hier der letzte HijackThis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:58:54, on 29.11.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\TUProgSt.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\VistaDriveIcon\DrvIcon.exe C:\Programme\Alwil Software\Avast4\ashDisp.exe C:\WINDOWS\explorer.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\***\Desktop\qlketzd.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://schuelervz.net/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.1.1 O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [DrvIcon] C:\Programme\VistaDriveIcon\DrvIcon.exe O4 - HKLM\..\Run: [avast!] "C:\Programme\Alwil Software\Avast4\ashDisp.exe" O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1227895651771 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O20 - AppInit_DLLs: wtghql.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe -- End of file - 5445 bytes |
30.11.2008, 16:31 | #5 |
| Werbeseiten öffnen dauerhaft ungewollt Okay Super Problem ist behoben :aplaus: Ich hätte nie gedacht das ich so viel Müll auf meinem Rechner hätte. Endlich läuft er mal wieder schnell und der Internet Explorer funktioniert reibungslos Also nochmals danke. Gruß Lumitu |
30.11.2008, 22:04 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Werbeseiten öffnen dauerhaft ungewollt Hallo Wir sind noch nicht ganz fertig. Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code:
ATTFilter c:\dokume~1\MARKUS~1\LOKALE~1\Temp\oflpydin.sys C:\WINDOWS\system\ltrdp13n.dll Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!) Code:
ATTFilter Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=- Collect:: c:\dokume~1\MARKUS~1\LOKALE~1\Temp\oflpydin.sys C:\WINDOWS\system\ltrdp13n.dll C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xml11.tmp C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xml10.tmp C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xmlF.tmp 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ --> Werbeseiten öffnen dauerhaft ungewollt |
Themen zu Werbeseiten öffnen dauerhaft ungewollt |
antivir, antivirus, avast, avast!, avira, bho, dateien, defender, download, excel, gservice, hijack, hijackthis, hkus\s-1-5-18, internet, logfile, microsoft, neue, nvidia, problem, programme, rundll, scan, senden, server, software, system, userinit.exe, windows |