| |
| |||||||
Log-Analyse und Auswertung: Internet Explorer macht sich selbstständigWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
13.02.2010, 22:43
| #1 |
| |  Internet Explorer macht sich selbstständig Hallo liebe Helfer und Helferinnen. Erstmal ein riesen Lob für die klasse Seite. Wie der Titel schon sagt habe ich seit gestern Probleme mit meinem IE, der einfach ohne mein Zutun startet und die verschiedensten Seiten aufruft. Ich habe im CHIP forum und auch auf dieser Seite hier schon einiges zum Thema gelesen, werde aber nicht so ganz schlau aus den bisher gegebenen Tipps. Ich hoffe ich habe alle Forumsregeln beachtet und auch befolgt. Hier mein HijakThis log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:52:05, on 13.02.2010 Platform: Unknown Windows (WinNT 6.01.3504) MSIE: Internet Explorer v8.00 (8.00.7600.16385) Boot mode: Normal Running processes: C:\Users\masked\AppData\Local\Temp\Dcg.exe D:\Programme\DAEMON Tools Lite\DTLite.exe C:\Windows\SysWOW64\rundll32.exe C:\Program Files (x86)\ASUS\GamerOSD\GamerOSD.exe C:\Program Files (x86)\Java\jre6\bin\jusched.exe C:\Program Files (x86)\G Data\TotalCare\Firewall\GDFirewallTray.exe C:\Program Files (x86)\G Data\TotalCare\AVKTray\AVKTray.exe C:\Program Files (x86)\Internet Explorer\IELowutil.exe C:\Program Files (x86)\Opera\opera.exe C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWTray.exe C:\Windows\SysWOW64\ctfmon.exe C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F2 - REG:system.ini: UserInit=userinit.exe O2 - BHO: G Data WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files (x86)\G Data\TotalCare\Webfilter\AVKWebIE.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: G Data WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files (x86)\G Data\TotalCare\Webfilter\AVKWebIE.dll O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files (x86)\ASUS\GamerOSD\GamerOSD.exe O4 - HKLM\..\Run: [ATICustomerCare] "C:\Program Files (x86)\ATI\ATICustomerCare\ATICustomerCare.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [GDFirewallTray] C:\Program Files (x86)\G Data\TotalCare\Firewall\GDFirewallTray.exe O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Program Files (x86)\G Data\TotalCare\AVKTray\AVKTray.exe O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files (x86)\ASUS\SmartDoctor\SmartDoctor.exe /start O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun O4 - HKCU\..\Run: [LosAlamos] rundll32.exe C:\Users\masked\AppData\Local\Temp\sshnas21.dll,AttachConsoleA O4 - HKCU\..\Run: [ESL Wire] "C:\Program Files\EslWire\wire.exe" --tray O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Program Files (x86)\Opera\program\plugins\NPSWF32_FlashUtil.exe -p O13 - Gopher Prefix: O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing) O23 - Service: ATK Fast User Switch Service (ATKFUSService) - Unknown owner - C:\Windows\system32\ATKFUSService.exe (file missing) O23 - Service: G Data AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Program Files (x86)\Common Files\G DATA\AVKProxy\AVKProxy.exe O23 - Service: G Data Scheduler (AVKService) - G Data Software AG - C:\Program Files (x86)\G Data\TotalCare\AVK\AVKService.exe O23 - Service: G Data Dateisystem Wächter (AVKWCtl) - G Data Software AG - C:\Program Files (x86)\G Data\TotalCare\AVK\AVKWCtlX64.exe O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing) O23 - Service: G Data Backup Service - G Data Software AG - C:\Program Files (x86)\G Data\TotalCare\AVKBackup\AVKBackupService.exe O23 - Service: G Data Tuner Service - G Data Software AG - C:\Program Files (x86)\G Data\TotalCare\AVKTuner\AVKTunerService.exe O23 - Service: G Data Personal Firewall (GDFwSvc) - G Data Software AG - C:\Program Files (x86)\G Data\TotalCare\Firewall\GDFwSvcx64.exe O23 - Service: G Data Scanner (GDScan) - G Data Software AG - C:\Program Files (x86)\Common Files\G DATA\GDScan\GDScan.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing) O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing) O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing) -- End of file - 7913 bytes Ich wäre dem, der mir weiterhelfen kann wirklich dankbar  |
|
14.02.2010, 00:42
| #2 |
| | Internet Explorer macht sich selbstständig Hier als Nchlieferung noch den Mbam.log:
__________________Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3734 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 14.02.2010 00:09:05 mbam-log-2010-02-14 (00-09-05).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 450961 Laufzeit: 1 hour(s), 49 minute(s), 28 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\Users\masked\AppData\Local\Temp\sshnas21.dll (Trojan.Downloader) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\F5JMWNZTHI (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\ROUA3O12PW (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\losalamos (Trojan.Downloader) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Users\masked\AppData\Local\Temp\sshnas21.dll (Trojan.Downloader) -> Delete on reboot. RSIT meldet bei mir folgenden Fehler: Line-1: Error: Variable used without being declared. Den MWAV.log kann ich irgendwie nicht hier posten da dabei immer die Seite abschmiert. Ich hoffe das hier hilft schon weiter, ansonsten macht mich bitte darauf aufmerksam und ich werde reagieren |
|
15.02.2010, 13:23
| #3 |
 | Internet Explorer macht sich selbstständig Lad mal bitte folgendes bei virustotal hoch und lass es von Malwarebytes scannen und poste dan die logfiles hier rein:
__________________C:\Users\masked\AppData\Local\Temp\Dcg.exe C:\Windows\system32\ATKFUSService.exe C:\Users\masked\AppData\Local\Temp\sshnas21.dll,AttachConsoleA und fix mal folgendes mit hijackthis: O4 - HKCU\..\Run: [LosAlamos] rundll32.exe C:\Users\masked\AppData\Local\Temp\sshnas21.dll,AttachConsoleA O23 - Service: ATK Fast User Switch Service (ATKFUSService) - Unknown owner - C:\Windows\system32\ATKFUSService.exe (file missing) könnte sen dass du was drauf hast bin mir nicht sicher erst mal gute besserung mfg punk |
|
15.02.2010, 16:27
| #5 |
| | Internet Explorer macht sich selbstständig Danke erstmal für dei schnelle antwort hier ist der erste log ( dcg.exe): a-squared 4.5.0.50 2010.02.15 - AhnLab-V3 5.0.0.2 2010.02.15 - AntiVir 7.9.1.170 2010.02.15 TR/Agent.AN.1082 Antiy-AVL 2.0.3.7 2010.02.15 - Authentium 5.2.0.5 2010.02.15 - Avast 4.8.1351.0 2010.02.15 Win32:Trojan-gen AVG 9.0.0.730 2010.02.15 Generic16.BJDR BitDefender 7.2 2010.02.15 - CAT-QuickHeal 10.00 2010.02.15 Win32.Backdoor.Rbot.aeu.3 ClamAV 0.96.0.0-git 2010.02.15 - Comodo 3945 2010.02.15 - DrWeb 5.0.1.12222 2010.02.15 Trojan.Fakealert.11885 eSafe 7.0.17.0 2010.02.15 - eTrust-Vet 35.2.7303 2010.02.15 - F-Prot 4.5.1.85 2010.02.15 - F-Secure 9.0.15370.0 2010.02.15 - Fortinet 4.0.14.0 2010.02.15 - GData 19 2010.02.15 Win32:Trojan-gen Ikarus T3.1.1.80.0 2010.02.15 - Jiangmin 13.0.900 2010.02.15 - K7AntiVirus 7.10.972 2010.02.12 - Kaspersky 7.0.0.125 2010.02.15 Packed.Win32.Krap.an McAfee 5892 2010.02.14 - McAfee+Artemis 5892 2010.02.14 - McAfee-GW-Edition 6.8.5 2010.02.15 Trojan.Agent.AN.1082 Microsoft 1.5406 2010.02.15 TrojanDownloader:Win32/Renos.KF NOD32 4868 2010.02.15 a variant of Win32/Kryptik.CKB Norman 6.04.08 2010.02.15 - nProtect 2009.1.8.0 2010.02.15 - Panda 10.0.2.2 2010.02.14 - PCTools 7.0.3.5 2010.02.15 Trojan.Generic Prevx 3.0 2010.02.15 - Rising 22.34.01.03 2010.02.11 - Sophos 4.50.0 2010.02.15 Mal/EncPk-NI Sunbelt 5678 2010.02.15 Trojan.Win32.Generic!BT Symantec 20091.2.0.41 2010.02.15 Trojan Horse TheHacker 6.5.1.4.194 2010.02.15 Trojan/Krap.an TrendMicro 9.120.0.1004 2010.02.15 PAK_Generic.001 VBA32 3.12.12.2 2010.02.15 - ViRobot 2010.2.13.2186 2010.02.13 - VirusBuster 5.0.21.0 2010.02.15 Trojan.Codecpack.Gen weitere Informationen File size: 139776 bytes MD5...: 45c4fbae1d3902fd203b5968ba149510 SHA1..: c85c2abc9dd5b4e2026d33f7b27d129cea21055b SHA256: f32e21ac7cb40dfe99c0b80935255c9eb1b6912dca0e2010a86c7e43f9d0cf40 ssdeep: 3072:SJpQz6mrHEIqbyGKR79ormpW1aVPl7s79a7ALqXlGQH9:SJpcrHEIqZrmJV P27s79MQ PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x6acc0 timedatestamp.....: 0x478ab043 (Mon Jan 14 00:43:47 2008) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x49000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x4a000 0x21000 0x21000 7.63 8c3365b07ccc7602d3910da898084631 UPX2 0x6b000 0x1000 0x200 3.54 c5b1fc4fbb91d05b8c10dc4b865f5ccd ( 6 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess > comdlg32.dll: FindTextA > ole32.dll: OleRun > SHELL32.dll: SHGetMalloc > shlwapi.dll: StrStrIW > USER32.dll: IsChild ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: UPX compressed Win32 Executable (38.5%) Win32 EXE Yoda's Crypter (33.5%) Win32 Executable Generic (10.7%) Win32 Dynamic Link Library (generic) (9.5%) Clipper DOS Executable (2.5%) packers (Kaspersky): PE_Patch.UPX, UPX sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned packers (F-Prot): UPX Die atkfusservive.exe finde ich zwar in meinem Explorer, aber in dem virustotal Auswahlfenster wird sie mir trotz richtigem Pfad nicht angezeigt. Die dritte Datei ist auf meinem Pc nicht mehr vorhanden, eventuell durch andere progs (adaware, spybot o.ä. gelöscht) ccleaner hab ich schon mal durchlaufen lasse, und jetzt noch einmal  |
|
19.02.2010, 11:34
| #6 |
| | Internet Explorer macht sich selbstständig Falls sich jemand erbarmen könnte.......ich wäre begeistert |
|
| Themen zu Internet Explorer macht sich selbstständig |
| ad-aware, adobe, antivirus, asus, bho, dateisystem, dll, explorer, firewall, g data, hijack, hijackthis, internet, internet explorer, local\temp, log, lsass.exe, microsoft, object, opera, plug-in, programme, proxy, rundll, seiten, software, syswow64, temp, windows, wmp |
Linear-Darstellung
