Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Werbeseiten öffnen dauerhaft ungewollt

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 28.11.2008, 19:46   #1
Lumitu
 
Werbeseiten öffnen dauerhaft ungewollt - Standard

Werbeseiten öffnen dauerhaft ungewollt



Hallo,
ich habe schon seit einiger Zeit das Problem das sich bei jeder Internet Explorersite die ich öffne eine neue Werbseseite in einem neuen Fenster mitöffnet. Ich habe bereits 2 Virenscanner übers System laufen lassen (avast, antivir). Die haben auch gleich Viren gefunden die ich entfernt habe. trotzdem besteht das problem weiterhin.
Wäre nett wenn mir jemand helfen könnte

Hier mein System:
Mirosoft Windows XP
Home Edition
Version 2002
SP 2

Internet Explorer 8
Virenscanner: Avast, Antivir
Firewall aktiv
Windows defender aktiv


Hier mein HJT Logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:20:35, on 28.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.17184)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Alwil Software\Avast4\ashDisp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\SoftwareDistribution\Download\f14fd8e5430c9159611462b685a23f24\update\update.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.1.1
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O2 - BHO: {04b5fa34-ff38-8b19-5904-413bb7661d30} - {03d1667b-b314-4095-91b8-83ff43af5b40} - C:\WINDOWS\system32\wtghql.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [avast!] "C:\Programme\Alwil Software\Avast4\ashDisp.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1227895651771
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: wtghql.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 6665 bytes

Dnake schon im Vorraus

Alt 28.11.2008, 20:11   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Werbeseiten öffnen dauerhaft ungewollt - Standard

Werbeseiten öffnen dauerhaft ungewollt



Hallo und

Zitat:
Internet Explorer 8
Virenscanner: Avast, Antivir

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.17184)
Du möchtest bitte nur einen Virenscanner mit Hintergrundwächter verwenden, da sich mehrere Wächter gegenseitig in die Quere kommen können und das System extrem verlangsamen können.

Warum eigentlich schon IE8? Der ist noch im Betastadium! Derfür fehlt allerdings das SP3 für XP. Updaten an falscher Stelle könnte man das nennen

Acker diese Punkte für weitere Analysen ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\WINDOWS\system32\wtghql.dll
         
2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten. Vor dem Ausführen von Malwarebytes den Wächter Deines Virenscanners abschalten!!

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
7.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

8.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
__________________

__________________

Alt 28.11.2008, 20:21   #3
Lumitu
 
Werbeseiten öffnen dauerhaft ungewollt - Standard

Werbeseiten öffnen dauerhaft ungewollt



Zitat:
Derfür fehlt allerdings das SP3 für XP. Updaten an falscher Stelle könnte man das nennen
stimmt das liegt daran das ich bis vor 2 tagen keine windowas-updates durchführen konnte warum auch immer aber das problem ist jetzt beseitigt installiere gerade 44 neue updates

Zitat:
Du möchtest bitte nur einen Virenscanner mit Hintergrundwächter verwenden, da sich mehrere Wächter gegenseitig in die Quere kommen können und das System extrem verlangsamen können
ja ich hatte vorher antivir und habe dann avast heute nu drüberlaufen lassen und der hat mir über 20 viren angezeigt die antivir nie gefunden hat die sind jetzt beseitigt

ok ich werde mich mal an die einzelnen punkte begeben danke
__________________

Alt 29.11.2008, 20:27   #4
Lumitu
 
Werbeseiten öffnen dauerhaft ungewollt - Standard

Werbeseiten öffnen dauerhaft ungewollt



Ok habe mich mal rangesetzt und alles gemacht.

Also zuerstmal habe ich mitlerweile Sp3 für mein XP. Ausserdem habe ich AntiVir gekickt und nutze jetzt nurnoch Avast. Und ich bin wieder auf den MSIE 7 umgestiegen.

Und hier die Files:

1.) Das mit Virustotal hat nicht geklappt weil die Datei bei mir angeblich nicht existiert.

2.) Alte Systemwiederherstellungspunkte sind alle gelöscht

3.) Das MBR-Tool habe ich ausgeführt das einzigste was dabei rauskam war das (ich weiß nicht ob das richtg ist so):

Code:
ATTFilter
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         
4.) Blacklight:
Code:
ATTFilter
11/29/08 19:23:16 [Info]: BlackLight Engine 2.2.1092 initialized
11/29/08 19:23:16 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/29/08 19:23:17 [Note]: 7019 4
11/29/08 19:23:17 [Note]: 7005 0
11/29/08 19:24:27 [Note]: 7006 0
11/29/08 19:24:27 [Note]: 7011 524
11/29/08 19:24:28 [Note]: 7035 0
11/29/08 19:24:28 [Note]: 7026 0
11/29/08 19:24:28 [Note]: 7026 0
11/29/08 19:24:36 [Note]: FSRAW library version 1.7.1024
11/29/08 19:24:36 [Note]: 2000 1006
11/29/08 19:24:36 [Note]: 2000 1006
11/29/08 19:24:37 [Note]: 2000 1006
11/29/08 19:24:37 [Note]: 2000 1006
11/29/08 19:24:37 [Note]: 2000 1006
11/29/08 19:24:37 [Note]: 2000 1006
11/29/08 19:24:37 [Note]: 2000 1006
11/29/08 19:24:37 [Note]: 2000 1006
11/29/08 19:24:37 [Note]: 2000 1006
11/29/08 19:24:37 [Note]: 2000 1006
11/29/08 19:24:37 [Note]: 2000 1006
11/29/08 19:24:37 [Note]: 2000 1006
11/29/08 19:24:37 [Note]: 2000 1006
11/29/08 19:24:37 [Note]: 2000 1006
11/29/08 19:24:37 [Note]: 2000 1006
11/29/08 19:24:37 [Note]: 2000 1006
11/29/08 19:24:37 [Note]: 2000 1006
11/29/08 19:24:38 [Note]: 2000 1006
11/29/08 19:24:38 [Note]: 2000 1006
11/29/08 19:24:38 [Note]: 2000 1006
11/29/08 19:24:38 [Note]: 2000 1006
11/29/08 19:24:38 [Note]: 2000 1006
11/29/08 19:24:38 [Note]: 2000 1006
11/29/08 19:24:38 [Note]: 2000 1006
11/29/08 19:24:38 [Note]: 2000 1006
11/29/08 19:24:38 [Note]: 2000 1006
11/29/08 19:24:38 [Note]: 2000 1006
11/29/08 19:24:38 [Note]: 2000 1006
11/29/08 19:24:38 [Note]: 2000 1006
11/29/08 19:24:38 [Note]: 2000 1006
11/29/08 19:24:38 [Note]: 2000 1006
11/29/08 19:24:38 [Note]: 2000 1006
11/29/08 19:24:38 [Note]: 2000 1006
11/29/08 19:24:38 [Note]: 2000 1006
11/29/08 19:24:39 [Note]: 2000 1006
11/29/08 19:24:39 [Note]: 2000 1006
11/29/08 19:24:39 [Note]: 2000 1006
11/29/08 19:24:39 [Note]: 2000 1006
11/29/08 19:24:39 [Note]: 2000 1006
11/29/08 19:24:39 [Note]: 2000 1006
11/29/08 19:24:39 [Note]: 2000 1006
11/29/08 19:24:39 [Note]: 2000 1006
11/29/08 19:24:39 [Note]: 2000 1006
11/29/08 19:24:39 [Note]: 2000 1006
11/29/08 19:24:39 [Note]: 2000 1006
11/29/08 19:24:39 [Note]: 2000 1006
11/29/08 19:24:39 [Note]: 2000 1006
11/29/08 19:24:39 [Note]: 2000 1006
11/29/08 19:24:39 [Note]: 2000 1006
11/29/08 19:24:39 [Note]: 2000 1006
11/29/08 19:24:39 [Note]: 2000 1006
11/29/08 19:24:39 [Note]: 2000 1006
11/29/08 19:24:39 [Note]: 2000 1006
11/29/08 19:24:39 [Note]: 2000 1006
11/29/08 19:24:39 [Note]: 2000 1006
11/29/08 19:24:40 [Note]: 2000 1006
11/29/08 19:24:40 [Note]: 2000 1006
11/29/08 19:24:40 [Note]: 2000 1006
11/29/08 19:24:40 [Note]: 2000 1006
11/29/08 19:24:40 [Note]: 2000 1006
11/29/08 19:24:40 [Note]: 2000 1006
11/29/08 19:24:40 [Note]: 2000 1006
11/29/08 19:24:40 [Note]: 2000 1006
11/29/08 19:24:40 [Note]: 2000 1006
11/29/08 19:24:40 [Note]: 2000 1006
11/29/08 19:24:40 [Note]: 2000 1006
11/29/08 19:24:40 [Note]: 2000 1006
11/29/08 19:24:40 [Note]: 2000 1006
11/29/08 19:24:40 [Note]: 2000 1006
11/29/08 19:24:40 [Note]: 2000 1006
11/29/08 19:24:40 [Note]: 2000 1006
11/29/08 19:24:41 [Note]: 2000 1006
11/29/08 19:24:41 [Note]: 2000 1006
11/29/08 19:24:41 [Note]: 2000 1006
11/29/08 19:24:41 [Note]: 2000 1006
11/29/08 19:24:41 [Note]: 2000 1006
11/29/08 19:24:41 [Note]: 2000 1006
11/29/08 19:24:41 [Note]: 2000 1006
11/29/08 19:24:41 [Note]: 2000 1006
11/29/08 19:24:41 [Note]: 2000 1006
11/29/08 19:24:41 [Note]: 2000 1006
11/29/08 19:24:41 [Note]: 2000 1006
11/29/08 19:24:41 [Note]: 2000 1006
11/29/08 19:24:41 [Note]: 2000 1006
11/29/08 19:24:41 [Note]: 2000 1006
11/29/08 19:24:41 [Note]: 2000 1006
11/29/08 19:24:42 [Note]: 2000 1006
11/29/08 19:24:42 [Note]: 2000 1006
11/29/08 19:24:42 [Note]: 2000 1006
11/29/08 19:24:42 [Note]: 2000 1006
11/29/08 19:24:42 [Note]: 2000 1006
11/29/08 19:24:42 [Note]: 2000 1006
11/29/08 19:24:42 [Note]: 2000 1006
11/29/08 19:24:42 [Note]: 2000 1006
11/29/08 19:24:42 [Note]: 2000 1006
11/29/08 19:24:42 [Note]: 2000 1006
11/29/08 19:24:42 [Note]: 2000 1006
11/29/08 19:24:42 [Note]: 2000 1006
11/29/08 19:24:42 [Note]: 2000 1006
11/29/08 19:24:42 [Note]: 2000 1006
11/29/08 19:24:42 [Note]: 2000 1006
11/29/08 19:24:42 [Note]: 2000 1006
11/29/08 19:24:42 [Note]: 2000 1006
11/29/08 19:24:42 [Note]: 2000 1006
11/29/08 19:24:42 [Note]: 2000 1006
11/29/08 19:24:42 [Note]: 2000 1006
11/29/08 19:24:43 [Note]: 2000 1006
11/29/08 19:24:43 [Note]: 2000 1006
11/29/08 19:24:43 [Note]: 2000 1006
11/29/08 19:24:43 [Note]: 2000 1006
11/29/08 19:24:43 [Note]: 2000 1006
11/29/08 19:24:43 [Note]: 2000 1006
11/29/08 19:24:43 [Note]: 2000 1006
11/29/08 19:24:43 [Note]: 2000 1006
11/29/08 19:24:43 [Note]: 2000 1006
11/29/08 19:24:43 [Note]: 2000 1006
11/29/08 19:24:43 [Note]: 2000 1006
11/29/08 19:24:43 [Note]: 2000 1006
11/29/08 19:24:43 [Note]: 2000 1006
11/29/08 19:24:43 [Note]: 2000 1006
11/29/08 19:24:43 [Note]: 2000 1006
11/29/08 19:24:43 [Note]: 2000 1006
11/29/08 19:24:43 [Note]: 2000 1006
11/29/08 19:24:44 [Note]: 2000 1006
11/29/08 19:24:44 [Note]: 2000 1006
11/29/08 19:24:44 [Note]: 2000 1006
11/29/08 19:24:44 [Note]: 2000 1006
11/29/08 19:24:44 [Note]: 2000 1006
11/29/08 19:24:44 [Note]: 2000 1006
11/29/08 19:24:44 [Note]: 2000 1006
11/29/08 19:24:44 [Note]: 2000 1006
11/29/08 19:24:44 [Note]: 2000 1006
11/29/08 19:24:44 [Note]: 2000 1006
11/29/08 19:24:44 [Note]: 2000 1006
11/29/08 19:24:44 [Note]: 2000 1006
11/29/08 19:24:44 [Note]: 2000 1006
11/29/08 19:24:44 [Note]: 2000 1006
11/29/08 19:24:44 [Note]: 2000 1006
11/29/08 19:24:44 [Note]: 2000 1006
11/29/08 19:24:44 [Note]: 2000 1006
11/29/08 19:24:44 [Note]: 2000 1006
11/29/08 19:24:44 [Note]: 2000 1006
11/29/08 19:24:44 [Note]: 2000 1006
11/29/08 19:24:44 [Note]: 2000 1006
11/29/08 19:24:45 [Note]: 2000 1006
11/29/08 19:24:45 [Note]: 2000 1006
11/29/08 19:24:45 [Note]: 2000 1006
11/29/08 19:24:45 [Note]: 2000 1006
11/29/08 19:24:45 [Note]: 2000 1006
11/29/08 19:24:45 [Note]: 2000 1006
11/29/08 19:24:45 [Note]: 2000 1006
11/29/08 19:24:45 [Note]: 2000 1006
11/29/08 19:24:45 [Note]: 2000 1006
11/29/08 19:24:45 [Note]: 2000 1006
11/29/08 19:24:45 [Note]: 2000 1006
11/29/08 19:24:45 [Note]: 2000 1006
11/29/08 19:24:45 [Note]: 2000 1006
11/29/08 19:24:45 [Note]: 2000 1006
11/29/08 19:24:45 [Note]: 2000 1006
11/29/08 19:24:45 [Note]: 2000 1006
11/29/08 19:24:45 [Note]: 2000 1006
11/29/08 19:24:45 [Note]: 2000 1006
11/29/08 19:24:46 [Note]: 2000 1006
11/29/08 19:24:46 [Note]: 2000 1006
11/29/08 19:24:46 [Note]: 2000 1006
11/29/08 19:24:46 [Note]: 2000 1006
11/29/08 19:24:46 [Note]: 2000 1006
11/29/08 19:24:46 [Note]: 2000 1006
11/29/08 19:24:46 [Note]: 2000 1006
11/29/08 19:24:46 [Note]: 2000 1006
11/29/08 19:24:46 [Note]: 2000 1006
11/29/08 19:24:46 [Note]: 2000 1006
11/29/08 19:24:46 [Note]: 2000 1006
11/29/08 19:24:46 [Note]: 2000 1006
11/29/08 19:24:46 [Note]: 2000 1006
11/29/08 19:24:46 [Note]: 2000 1006
11/29/08 19:24:46 [Note]: 2000 1006
11/29/08 19:24:46 [Note]: 2000 1006
11/29/08 19:24:46 [Note]: 2000 1006
11/29/08 19:24:46 [Note]: 2000 1006
11/29/08 19:24:46 [Note]: 2000 1006
11/29/08 19:24:46 [Note]: 2000 1006
11/29/08 19:24:46 [Note]: 2000 1006
11/29/08 19:24:46 [Note]: 2000 1006
11/29/08 19:24:47 [Note]: 2000 1006
11/29/08 19:24:47 [Note]: 2000 1006
11/29/08 19:24:47 [Note]: 2000 1006
11/29/08 19:24:47 [Note]: 2000 1006
11/29/08 19:24:47 [Note]: 2000 1006
11/29/08 19:24:47 [Note]: 2000 1006
11/29/08 19:24:47 [Note]: 2000 1006
11/29/08 19:24:47 [Note]: 2000 1006
11/29/08 19:24:47 [Note]: 2000 1006
11/29/08 19:24:47 [Note]: 2000 1006
11/29/08 19:24:47 [Note]: 2000 1006
11/29/08 19:24:47 [Note]: 2000 1006
11/29/08 19:24:47 [Note]: 2000 1006
11/29/08 19:24:47 [Note]: 2000 1006
11/29/08 19:24:47 [Note]: 2000 1006
11/29/08 19:24:47 [Note]: 2000 1006
11/29/08 19:24:47 [Note]: 2000 1006
11/29/08 19:24:47 [Note]: 2000 1006
11/29/08 19:24:47 [Note]: 2000 1006
11/29/08 19:24:48 [Note]: 2000 1006
11/29/08 19:24:48 [Note]: 2000 1006
11/29/08 19:24:48 [Note]: 2000 1006
11/29/08 19:24:48 [Note]: 2000 1006
11/29/08 19:24:48 [Note]: 2000 1006
11/29/08 19:24:48 [Note]: 2000 1006
11/29/08 19:24:48 [Note]: 2000 1006
11/29/08 19:24:49 [Note]: 2000 1006
11/29/08 19:24:49 [Note]: 2000 1006
11/29/08 19:24:49 [Note]: 2000 1006
11/29/08 19:24:49 [Note]: 2000 1006
11/29/08 19:24:49 [Note]: 2000 1006
11/29/08 19:24:50 [Note]: 2000 1006
11/29/08 19:24:50 [Note]: 2000 1006
11/29/08 19:24:50 [Note]: 2000 1006
11/29/08 19:24:50 [Note]: 2000 1006
11/29/08 19:24:50 [Note]: 2000 1006
11/29/08 19:24:51 [Note]: 2000 1006
11/29/08 19:24:51 [Note]: 2000 1006
11/29/08 19:24:55 [Note]: 2000 1012
11/29/08 19:24:55 [Note]: 2000 1006
11/29/08 19:24:55 [Note]: 2000 1006
11/29/08 19:24:55 [Note]: 2000 1006
11/29/08 19:25:23 [Note]: 7007 0
         
Malwarebytes Antimalware hat keine infizierten Dateien gefunden

5.) Silentrunners Log: File-Upload.net - SilentrunnersLog.zip

6.) CombiFix Log: File-Upload.net - ComboFix.zip

7.) Filelisting Log: File-Upload.net - Filelisting.zip

8.) und hier der letzte HijackThis Logfile:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:58:54, on 29.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\VistaDriveIcon\DrvIcon.exe
C:\Programme\Alwil Software\Avast4\ashDisp.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\***\Desktop\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://schuelervz.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.1.1
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DrvIcon] C:\Programme\VistaDriveIcon\DrvIcon.exe
O4 - HKLM\..\Run: [avast!] "C:\Programme\Alwil Software\Avast4\ashDisp.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1227895651771
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: wtghql.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 5445 bytes
         
Ich danke dir nochmal und hoffe das ich das jetzt in den gruff bekomme

Alt 30.11.2008, 16:31   #5
Lumitu
 
Werbeseiten öffnen dauerhaft ungewollt - Standard

Werbeseiten öffnen dauerhaft ungewollt



Okay Super Problem ist behoben :aplaus:

Ich hätte nie gedacht das ich so viel Müll auf meinem Rechner hätte. Endlich läuft er mal wieder schnell und der Internet Explorer funktioniert reibungslos

Also nochmals danke.

Gruß Lumitu


Alt 30.11.2008, 22:04   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Werbeseiten öffnen dauerhaft ungewollt - Standard

Werbeseiten öffnen dauerhaft ungewollt



Hallo

Wir sind noch nicht ganz fertig.
Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
c:\dokume~1\MARKUS~1\LOKALE~1\Temp\oflpydin.sys
C:\WINDOWS\system\ltrdp13n.dll
         
Danach:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

Code:
ATTFilter
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-

Collect::
c:\dokume~1\MARKUS~1\LOKALE~1\Temp\oflpydin.sys
C:\WINDOWS\system\ltrdp13n.dll
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xml11.tmp
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xml10.tmp
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xmlF.tmp
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
--> Werbeseiten öffnen dauerhaft ungewollt

Antwort

Themen zu Werbeseiten öffnen dauerhaft ungewollt
antivir, antivirus, avast, avast!, avira, bho, dateien, defender, download, excel, gservice, hijack, hijackthis, hkus\s-1-5-18, internet, logfile, microsoft, neue, nvidia, problem, programme, rundll, scan, senden, server, software, system, userinit.exe, windows




Ähnliche Themen: Werbeseiten öffnen dauerhaft ungewollt


  1. Chrome will dauerhaft bestimmtes Pop-Up öffnen
    Plagegeister aller Art und deren Bekämpfung - 12.05.2015 (3)
  2. Windows 7: Werbeseiten stamplive und youradexchange öffnen sich ungewollt
    Log-Analyse und Auswertung - 25.01.2015 (11)
  3. Es öffnen sich ungewollt immer neue Tabs & zu viel Werbung
    Plagegeister aller Art und deren Bekämpfung - 13.12.2014 (15)
  4. Windows 7: Beim Surfen öffnen sich ungewollt neu tabs/Fenster mit Werbung
    Log-Analyse und Auswertung - 08.05.2014 (10)
  5. Tabs öffnen sich ständig in Chrome und Mikrofon geht dauerhaft aus
    Plagegeister aller Art und deren Bekämpfung - 26.04.2014 (1)
  6. Es öffnen sich ungewollt und oft Fenster mit Werbung
    Log-Analyse und Auswertung - 24.02.2014 (3)
  7. windows 7 - plötzlich langsam, firefox geht ungewollt auf werbeseiten, cinergy s funktioniert nicht
    Log-Analyse und Auswertung - 30.06.2013 (10)
  8. Explorer stürzt ständig ab / Jegliche Browser öffnen ungewollt Seiten
    Plagegeister aller Art und deren Bekämpfung - 10.11.2010 (8)
  9. selbständiges Öffnen von Internetexplorer mit Werbeseiten
    Log-Analyse und Auswertung - 01.06.2010 (4)
  10. Internet seiten öffnen sich ungewollt
    Log-Analyse und Auswertung - 17.05.2010 (2)
  11. Ständig öffnen Werbeseiten
    Log-Analyse und Auswertung - 14.10.2009 (1)
  12. Es öffnen sich Werbeseiten !!!
    Log-Analyse und Auswertung - 26.12.2008 (2)
  13. IE und Mozilla öffnen Werbeseiten
    Mülltonne - 16.12.2008 (1)
  14. Bitte Logfile auswerten, Probleme: Pc langsam, Internetseiten öffnen sich ungewollt
    Log-Analyse und Auswertung - 13.12.2007 (2)
  15. I-Seiten öffnen sich ungewollt Hilfe!!!
    Log-Analyse und Auswertung - 29.11.2007 (4)
  16. Browser öffnet ungewollt automatisch Werbeseiten
    Log-Analyse und Auswertung - 26.05.2007 (1)
  17. Seiten öffnen sich ungewollt??? Hilfe!!!
    Plagegeister aller Art und deren Bekämpfung - 13.12.2005 (5)

Zum Thema Werbeseiten öffnen dauerhaft ungewollt - Hallo, ich habe schon seit einiger Zeit das Problem das sich bei jeder Internet Explorersite die ich öffne eine neue Werbseseite in einem neuen Fenster mitöffnet. Ich habe bereits 2 - Werbeseiten öffnen dauerhaft ungewollt...
Archiv
Du betrachtest: Werbeseiten öffnen dauerhaft ungewollt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.