IE öffnet beim surfen selbsständig neue seiten

mina88 · 31.03.2009, 10:57

mein internet explorer version 7 öffnet selbsständig seiten in einer neuen registrierkarte, weiß nicht woran das liegt, hier meine HijackThis Log file:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:45:16, on 31.03.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Program Files\FreePDF_XP\fpassist.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\ehome\ehtray.exe
C:\Users\mina\AppData\Local\qyqei.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\mina\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WE2BRK41\HiJackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p:\\w*w.samsungcomputer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p:\\w*w.samsungcomputer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: PDF-XChange Viewer IE-Plugin - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} - C:\Program Files\Tracker Software\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [qyqei] "c:\users\mina\appdata\local\qyqei.exe" qyqei
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - h**ps://w*w.internet-sparbuch.de/aspx/wisoappl/Download/icaweb.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Unknown owner - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) - Syntek America Inc. - C:\Windows\System32\StkCSrv.exe

--
End of file - 6533 bytes

Redwulf · 31.03.2009, 11:33

Hallo mina88 und

Bitte lade diese Datei bei Virustotal.com hoch und lasse sie analysieren

Code:

ATTFilter

c:\users\mina\appdata\local\qyqei.exe

Das vollständige Ergebnis postest du mit allen Angaben bitte hier ( auch Prüfsummen, MD 5 Hashes )

mina88 · 31.03.2009, 18:17

danke für deine antwort.
hab die datei hochgeladen das kam dabei raus:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.03.31 -
AhnLab-V3 5.0.0.2 2009.03.31 -
AntiVir 7.9.0.129 2009.03.31 -
Antiy-AVL 2.0.3.1 2009.03.31 -
Authentium 5.1.2.4 2009.03.30 -
Avast 4.8.1335.0 2009.03.30 -
AVG 8.5.0.285 2009.03.31 -
BitDefender 7.2 2009.03.31 -
CAT-QuickHeal 10.00 2009.03.31 -
ClamAV 0.94.1 2009.03.31 -
Comodo 1092 2009.03.31 -
DrWeb 4.44.0.09170 2009.03.31 -
eSafe 7.0.17.0 2009.03.31 -
eTrust-Vet 31.6.6427 2009.03.31 -
F-Prot 4.4.4.56 2009.03.30 -
F-Secure 8.0.14470.0 2009.03.31 -
Fortinet 3.117.0.0 2009.03.31 -
GData 19 2009.03.31 -
Ikarus T3.1.1.49.0 2009.03.31 -
K7AntiVirus 7.10.687 2009.03.31 -
Kaspersky 7.0.0.125 2009.03.31 -
McAfee 5570 2009.03.31 -
McAfee+Artemis 5570 2009.03.31 -
McAfee-GW-Edition 6.7.6 2009.03.31 Trojan.LooksLike.Dropper
Microsoft 1.4502 2009.03.31 -
NOD32 3977 2009.03.31 -
Norman 6.00.06 2009.03.31 -
nProtect 2009.1.8.0 2009.03.31 -
Panda 10.0.0.14 2009.03.31 -
PCTools 4.4.2.0 2009.03.31 -
Prevx1 V2 2009.03.31 -
Rising 21.23.12.00 2009.03.31 -
Sophos 4.40.0 2009.03.31 -
Sunbelt 3.2.1858.2 2009.03.31 -
Symantec 1.4.4.12 2009.03.31 -
TheHacker 6.3.3.9.296 2009.03.30 Trojan/Skin.gen
TrendMicro 8.700.0.1004 2009.03.31 -
VBA32 3.12.10.1 2009.03.31 -
ViRobot 2009.3.31.1669 2009.03.31 -
VirusBuster 4.6.5.0 2009.03.31 -

weitere Informationen

File size: 257024 bytes
MD5...: f72c66f99528501e5be3b79051537d02
SHA1..: 785203ff2ec4115878bc947f98df9c09699bb615
SHA256: 42a5d9de9eb26cc57ffb71ec37d1ccf687455c512cf8705d6aceb45273ed6643
SHA512: 14a23e7a5d145c9bece2c273d21cc2a86bba00fc372ef32b09c04093b5541344
b35ce7b239196b1780e57916d9f9b3fe59e38a891a4bb92563a7483e248cdfc2
ssdeep: 3072:ktGeuYFnx3In1U5/b7O4o6FvI8SH+5FiXPh1c1E2KvU92EaOFIxmKc3wT95
GBFFn:nHW5/bq4vI8SePaZeM9mGCPF3CqPDf+

PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x31368
timedatestamp.....: 0x44055c3d (Wed Mar 01 08:33:01 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x304f6 0x30600 7.43 a6661fa8bfe674542e432d31e06abb4b
auqem 0x32000 0x85b2 0x8600 5.74 669a730727f5ec50a14fabefd029a3d0
iskooya 0x3b000 0x278c 0x2800 5.50 64bc71f916546ed904d48742b25f7d55
gwski 0x3e000 0x3354 0x3400 7.97 95ed7794e6561f7b099a537b100efe06

( 7 imports )
> WINSPOOL.DRV: DeletePrinterDriverA, GetPrinterDriverA, OpenPrinterW, DocumentPropertiesW, GetPrinterDriverDirectoryA
> VERSION.dll: VerQueryValueA
> KERNEL32.dll: GlobalAddAtomW, MoveFileExW, FreeEnvironmentStringsA, GetLogicalDriveStringsA, GetDiskFreeSpaceA, GetComputerNameW, GetProfileStringW, MoveFileExA, lstrlenA, GlobalDeleteAtom, FormatMessageW, SetFilePointer, GetOEMCP, SetErrorMode, FindNextChangeNotification, SetNamedPipeHandleState, GetFileInformationByHandle, GlobalAlloc, LockFile, GetTickCount, SizeofResource, OutputDebugStringA, EnumResourceLanguagesA, IsBadWritePtr, TlsAlloc, GetLogicalDriveStringsW, GetSystemInfo, GetShortPathNameA, ReleaseSemaphore, CreateTimerQueue, CreateNamedPipeA, LockResource, ResumeThread, lstrcpynA, FindNextFileA, Sleep, GetUserGeoID, TlsGetValue, CreateThread, CreateTimerQueueTimer, SetProcessWorkingSetSize, WaitForMultipleObjects, SetEndOfFile, MulDiv, GetACP, GetUserDefaultLCID, CopyFileA, GetPriorityClass, SetFileAttributesW, IsDebuggerPresent, GetExitCodeProcess, GetStartupInfoA, CreateFileW, lstrcmpiW, GetTempFileNameA, LCMapStringA, OutputDebugStringW, GetPrivateProfileSectionA, SetStdHandle, LoadLibraryExW, EnumResourceLanguagesW, GetCurrentProcessId, OpenEventA, InterlockedExchange, CreateFileA, GetModuleFileNameA, HeapReAlloc, SetWaitableTimer, EnumSystemLocalesA, CreateIoCompletionPort, MoveFileA, UnmapViewOfFile, GetTempFileNameW, QueryDosDeviceW, CreateFileMappingW, WritePrivateProfileStringA, GetOverlappedResult, LoadLibraryExA, GetCPInfo, FileTimeToSystemTime, ExpandEnvironmentStringsA, DuplicateHandle, CreateProcessA, CreateMutexW, CreateProcessW, GlobalReAlloc, PulseEvent, TerminateThread, OpenMutexW, IsBadReadPtr, LocalFileTimeToFileTime, GetSystemDirectoryW, EnumResourceNamesW, WriteProfileStringA, UnlockFile, GetSystemPowerStatus, GetTimeZoneInformation, WriteFile, IsValidLocale, VirtualAlloc, Beep, GetModuleHandleA
> ADVAPI32.dll: MakeAbsoluteSD, RegDeleteValueW, RegFlushKey, CryptGenRandom, RegEnumKeyA, ConvertSidToStringSidA, BuildExplicitAccessWithNameW, CryptAcquireContextW, CryptVerifySignatureW, CreateServiceA, GetUserNameW
> OLEAUT32.dll: -
> USER32.dll: EnableMenuItem, DeleteMenu, SetCaretPos, CreateMenu, RemoveMenu, PostThreadMessageW, ExitWindowsEx, SendMessageA, SetFocus, IsMenu, GetInputState, BroadcastSystemMessageA, UnregisterClassA, DdeConnect, RegisterClassW, LoadKeyboardLayoutA, CharUpperBuffA, CheckMenuRadioItem, OemToCharA, FlashWindowEx, DdeFreeDataHandle, GetKeyboardLayoutList, UpdateWindow, GetWindowDC, CheckMenuItem, DestroyIcon, GetClassInfoExA, FindWindowA, MessageBoxIndirectW, IsDialogMessageA, GetUserObjectInformationW, DefWindowProcA, UnpackDDElParam, ScrollDC, CharLowerW, MapWindowPoints, GrayStringW, LoadMenuA, DdeClientTransaction, SendMessageTimeoutW, ScreenToClient, CopyIcon, GetKeyboardLayout, UnregisterDeviceNotification, DrawIcon, DestroyAcceleratorTable, GetWindowModuleFileNameA, LoadCursorW, CharLowerBuffA, SetClassLongW, LoadAcceleratorsA, GetActiveWindow, IsDialogMessageW, CreateAcceleratorTableW, CopyImage, MsgWaitForMultipleObjects, TabbedTextOutA, DdeConnectList, AppendMenuW, CopyAcceleratorTableA, PeekMessageW, FlashWindow, DrawStateW, ValidateRgn, CharUpperBuffW, GetScrollPos, DialogBoxParamA, CheckRadioButton, LoadAcceleratorsW, SetDlgItemTextA, DefFrameProcA, GetWindowLongW, DestroyMenu
> MSVCRT.dll: __set_app_type, _except_handler3, __p__fmode, __p__commode, __setusermatherr, _initterm, __getmainargs, _acmdln, _XcptFilter, ctime, _adjust_fdiv, wcscspn, exit, _controlfp, memmove, wcsrchr, bsearch, _exit, _fpreset, _snwprintf, _wtoi64, wcspbrk, _beginthreadex, _cexit, strrchr, _wcsupr, setlocale, free, strncmp, atof, wcstol, _wtol, _itoa, _wcsdup, _ecvt, fclose, _c_exit, swprintf, towupper, _ismbblead, swscanf, strstr, rand, wcstok, wcsstr, _strlwr, atol, _wtoi, toupper, _vsnwprintf, srand, _wcsicmp, qsort, fread, tolower, wcscpy, wcstoul, iswalnum, _CxxThrowException, wcscmp, _splitpath, strchr

( 0 exports )

RDS...: NSRL Reference Data Set
-

Redwulf · 31.03.2009, 21:13

Bitte downloade jetzt NAVILOG

Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.

Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.

Wähle E für Englisch im Sprachenmenü

Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.

Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.

Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.

Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.
Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Navilog wir dvon einigen Programmen als schädlich gemeldet. Das ist eine Fehlmeldung

mina88 · 01.04.2009, 19:42

so ich ab jetzt Navilog laufen lassen:

Search Navipromo version 3.7.6 began on 01.04.2009 at 20:10:49,62

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Program Files\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft® Windows Vista™ Home Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU P8400 @ 2.26GHz )
BIOS : 2S Phoenix SecureCore(tm) NB Version 03LE.MP00.20080730.KSY
USER : mina ( Administrator )
BOOT : Normal boot

C:\ (Local Disk) - NTFS - Total:144 Go (Free:114 Go)
D:\ (Local Disk) - NTFS - Total:143 Go (Free:143 Go)
E:\ (CD or DVD)
G:\ (CD or DVD)

Search done in normal mode

*** Search folders in "C:\Windows" ***

*** Search folders in "C:\Program Files" ***

*** Search folders in "c:\progra~2\micros~1\windows\startm~1\programs" ***

*** Search folders in "c:\progra~2\micros~1\windows\startm~1" ***

*** Search folders in "C:\ProgramData" ***

*** Search folders in "c:\users\mina\appdata\roaming\micros~1\windows\startm~1\programs" ***

*** Search folders in "C:\Users\mina\AppData\Local\virtualstore\Program Files" ***

...\Live-Player found !

*** Search folders in "C:\Users\mina\AppData\Local" ***

*** Search folders in "C:\Users\mina\AppData\Roaming" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\Windows\system32" *

* Scan in "C:\Users\mina\AppData\Local\Microsoft" *

* Scan in "C:\Users\mina\AppData\Local\virtualstore\windows\system32" *

* Scan in "C:\Users\mina\AppData\Local" *

*** Search files ***

C:\Windows\prefetch\LIVE-PLAYER_SETUP.EXE-61E2A8DA.pf found !
C:\Windows\prefetch\LIVE-PLAYER.EXE-C386027A.pf found !

*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"qyqei"="\"c:\\users\\mina\\appdata\\local\\qyqei.exe\" qyqei"

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :

2)Heuristic Search :

* In "C:\Windows\system32" :

* In "C:\Users\mina\AppData\Local\Microsoft" :

* In "C:\Users\mina\AppData\Local\virtualstore\windows\system32" :

* In "C:\Users\mina\AppData\Local" :

qyqei.exe found !
qyqei.dat found !
qyqei_nav.dat found !
qyqei_navps.dat found !
qyqei.bat found !

3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :

*** Search completed on 01.04.2009 at 20:39:23,44 ***

**Sunny** · 01.04.2009, 20:05

Ich spring mal eben ein für den "redwulf"..

Nun bitte folgendes:

Rufe Navilog bitte erneut auf und wähle die Option 2
Das Programm wird nun deinem Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
Sollte der Rechner nicht neustarten, tue dies bitte manuell.
Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
Das Scanergebnis bitte hier posten.

Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit Strg+Alt+Entf den Taskmanager auf und wähle unter Prozesse->Neuen Task ausführen aus. Gib dort explorer ein.

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

(nach dem scannen auf den Button klicken und Funde löschen lassen!)

Poste danach ein neues Hijacklog!

mina88 · 01.04.2009, 20:54

habe jetzt erstmal navilog scannen lassen, hier das ergebnis:

Navipromo Removal version 3.7.6 started on 01.04.2009 at 21:44:51,11

Fix running from C:\Program Files\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft® Windows Vista™ Home Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU P8400 @ 2.26GHz )
BIOS : 2S Phoenix SecureCore(tm) NB Version 03LE.MP00.20080730.KSY
USER : mina ( Administrator )
BOOT : Normal boot

C:\ (Local Disk) - NTFS - Total:144 Go (Free:116 Go)
D:\ (Local Disk) - NTFS - Total:143 Go (Free:143 Go)
E:\ (CD or DVD)
G:\ (CD or DVD)

Automatic removal
with Catchme and GNS results

Cleanning stage done on Reboot

*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)

*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\Windows\System32" *

* Deletion in "C:\Users\mina\AppData\Local\Microsoft" *

* Deletion in "C:\Users\mina\AppData\Local\virtualstore\windows\system32" *

* Deletion in "C:\Users\mina\AppData\Local" *

*** Deleting folders in "C:\Windows" ***

*** Deleting folders in "C:\Program Files" ***

*** Deleting folders in "c:\progra~2\micros~1\windows\startm~1\programs" ***

*** Deleting folders in "c:\progra~2\micros~1\windows\startm~1" ***

*** Deleting folders in "C:\ProgramData" ***

*** Deleting folders in c:\users\mina\appdata\roaming\micros~1\windows\startm~1\programs ***

*** Deleting folders in "C:\Users\mina\AppData\Local\virtualstore\Program Files" ***

...\Live-Player ...deleting...
...\Live-Player deleted !

*** Deleting folders in "C:\Users\mina\AppData\Local" ***

*** Deleting folders in "C:\Users\mina\AppData\Roaming" ***

*** Deleting files ***

C:\Windows\LIVE-PLAYER_SETUP.EXE-61E2A8DA.pf deleted !
C:\Windows\LIVE-PLAYER.EXE-C386027A.pf deleted !

*** Deleting temporary files ***

Cleaning of C:\Windows\Temp done !
Cleaning of C:\Users\mina\AppData\Local\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :

* In "C:\Windows\system32" *

C:\Windows\prefetch\qyqei*.pf found !
Copy C:\Windows\prefetch\qyqei*.pf done !
C:\Windows\prefetch\qyqei*.pf deleted !

* In "C:\Users\mina\AppData\Local\Microsoft" *

* In "C:\Users\mina\AppData\Local\virtualstore\windows\system32" *

* In "C:\Users\mina\AppData\Local" *

qyqei.exe found !
Copy qyqei.exe done !
qyqei.exe deleted !

qyqei.dat found !
Copy qyqei.dat done !
qyqei.dat deleted !

qyqei_nav.dat found !
Copy qyqei_nav.dat done !
qyqei_nav.dat deleted !

qyqei_navps.dat found !
Copy qyqei_navps.dat done !
qyqei_navps.dat deleted !

qyqei.bat found !
Copy qyqei.bat done !
qyqei.bat deleted !

*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned

*** Certificates ***

Egroup Certificate not found !
Electronic-Group Certificate not found !
Montorgueil Certificate not found !
OOO-Favorit Certificate not found !
Sunny-Day-Design-Ltd Certificate not found !

*** Search others known folders and files ***

*** Cleaning stage complete on 01.04.2009 at 21:48:56,71 ***

Werde jetzt Malwarebytes laufen lassen.

Redwulf · 01.04.2009, 21:23

Danke fürs Einspringen Sunny, hatte heute mal ein wenig Stress im Dienst.

Mina, der Navilog Scan war von Erfolg gekrönt. Bin jetzt gespannt auf das Malwarebytes Log. Dann sehen wir weiter...

mina88 · 02.04.2009, 10:19

der scan hat gestern sehr viel zeit in anspruch genommen, deshalb erst heute das ergebnis:

Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1929
Windows 6.0.6001 Service Pack 1

02.04.2009 00:15:25
mbam-log-2009-04-02 (00-15-25).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 232684
Laufzeit: 1 hour(s), 44 minute(s), 16 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

und hier die neue HijackThis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:18:31, on 02.04.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Windows\Explorer.EXE
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
C:\Windows\system32\conime.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Program Files\FreePDF_XP\fpassist.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\mina\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: PDF-XChange Viewer IE-Plugin - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} - C:\Program Files\Tracker Software\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - https://www.internet-sparbuch.de/aspx/wisoappl/Download/icaweb.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Unknown owner - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) - Syntek America Inc. - C:\Windows\System32\StkCSrv.exe

--
End of file - 7272 bytes

mina88 · 02.04.2009, 22:03

hallo,
es werden jetzt keine seiten mehr geöffnet, endlich.

malwarebytes hat nichts ungewöhnliches gefunden, heißt das jetzt, dass keine schädliche dateien auf dem pc mehr sind?

Oder muss ich noch weitere Punkte befolgen?

Redwulf · 03.04.2009, 10:02

Diese Einträge bitte noch mit Hijack this fixen

Code:

ATTFilter

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

Ansonsten siehts sehr gut aus...

Vieleicht noch ein paar Hinweise:

Du solltest überlegen, ob du all diese Programme mit starten lassen musst. Alle Programme wirst du nicht brauchen und wenn du Eines brauchst, kannst du es ja auch manuell starten.

Für XP: -->Mit Start --> Ausführen --> msconfig [eintippen] / Reiter Systemstart kannst du, falls gewünscht, einige der dort gelisteten Programme vom Start herunternehmen.

Für Vista: -> Alle Programme -> Zubehör -> Ausführen den Ausführen-Dialog öffnen und dort "msconfig" eintippen. Nachdem die Eingabe mit OK bestätigt wurde, öffnet sich auch schon ein Fenster namens "Systemkonfiguration".
Hier kannst du dann einige der gelisteten Programme vom Systemstart ausnehmen.

Doch Vorsicht !! Wer mit der Systemkonfiguration herumspielen will, sollte sich zuvor genau erkundigen, was die einzelnen Optionen, Dienste und Programme bewirken! Zur Not googlen

Einige deiner Treiber und Programme sind hoffungslos überaltert.
Damit du deine Treiber immer auf dem neuesten Stand hast empfehle ich dir
Secunia PSI

Hier erhälst du einen schnellen Überblick über den Zustand deiner Treiber, Risiken und wie man diese Risiken mittels freien Downloads beseitigen kann. So hast du alle Treiber im Griff und immer auf dem neuesten Stand.

Als alternativen Browser kann ich dir nur Firefox an Herz legen. Ad Block Plus
und NoScript sind Erweiterungen, die du in den Firefox einbauen kannst.
Lösche jedoch nicht den Internet Explorer, da du diesen für deine Updates brauchst.

Lasse deine Windows Firewall immer an und verzichte auf andere Firewalls.
Sun´s Java sollte immer auf dem aktuellsten Stand sein. Den Download findest du hier.

Eine Alternative zu Outlook ist Thunderbird, der durch seine Technologie die sichere Variante ist.

Auch diese Hinweise zu Punkt 3 ( Absichern des Systems ) sind angesagt.

Entferne alle Programme die wir eingesetzt haben und stelle deine Systemwiederherstellung wieder an. Die Einstellungen Ordneroptionen / Verstecke und Systemdateien anzeigen, solltest du wie oben unter Punkt 3
einstellen.

CCleaner und Malwarebytes kannst du drauf lassen...NUTZE sie regelmäßig ( updates nicht vergessen ) CCleaner erhöht bei regelmäßiger Anwendung u.a. auch die Performance deines Systems.

Als letzten Tip kann ich dir nur die Eintsellungen für den Avira Antivirus empfehlen, lies bitte hierzu folgende Seite.

Ich wünsche dir in Zukunft sicheres surfen......
Ich denke das wars für dich

mina88 · 03.04.2009, 13:36

hallo,

ich danke dir erstmal für deine hilfe, bin jetzt ziemlich erleichtert, dass soweit ales in ordnung ist.

ich hab alle schritte und empfehlungen aus deiner antwort befolgt.
Hab da aber noch ne frage bezüglich avira.
Der Link mit den Einstellungen bezieht sich auf Avira Antivir version 8, habe aber version 9, da gibt es noch zusätzliche Auswahlfunktionen.
Hab im Forum geschaut hab aber dazu nichts gefunden, dehalb habe ich erstmal die Einstellungen für v.8 bei meinem avira soweit wie es geht übernommen.
Ich hoffe, dass das in ordnung ist.

Redwulf · 03.04.2009, 21:01

Da müsse ich mal Angel fragen, ich glaube sie kennt sich mit Avira besser aus als ich. Vieleilcht schickst du ihr mal eine PM?
Ansonsten verabschiede ich mich von dir und wünsch´ dir alles Gute

mina88 · 04.04.2009, 12:52

ich danke dir nochmal für deine hilfe.
werde angel die pm schicken.

Angel21 · 04.04.2009, 14:18

Hallo Mina, freut mich, dass dein Problem gelöst worden ist

Bezügl. Avira Antivir Guard Version 9: Übernehme diese Einstellungen ganz normal wie sie auch im Forum stehen.
Hier ist der Link hierzu: http://www.trojaner-board.de/54192-a...tellungen.html wenn irgendetwas unklar ist, dann kannst Du mir jederzeit eine PN schicken. Soweit ich dann Online bin werde ich Sie Dir gerne beantworten

Good Luck

PS: an den Einstellungen (Konfigurationen) selbst hat sich nicht deutlich was geändert.
Die Scanvorgänge sind schneller geworden, der PC lahmt nicht mehr so ab und neue zusätzliche Dinge wie Adware und Spyware (das zuvor noch nicht im Petto war) werden mitgescannt.
Aber die Funktionen blieben in soweit gleich.

IE öffnet beim surfen selbsständig neue seiten

Log-Analyse und Auswertung: IE öffnet beim surfen selbsständig neue seiten