HEy,

Ich hoffe ihr könnt mir helfen.
Seit geraumer Zeit öffnet sich mein Internet Explorer immer von selbst mit irgendwelchen Werbeseiten. Habe Windows 7 und benutze Google Chrome zum surfen.
Hatte letztens ein paar Viren drauf, die sind jetzt aber alle weg.

Hier das Log:

Zitat:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:13:58, on 26.04.2010
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskhost.exe
C:\Users\Lohmar\AppData\Local\Temp\Ixq.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Users\Lohmar\AppData\Local\Temp\svchost.exe
C:\Program Files\ICQ7.0\ICQ.exe
C:\Users\Lohmar\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Lohmar\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Lohmar\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Lohmar\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Lohmar\AppData\Local\Temp\Ixr.exe
C:\Users\Lohmar\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\HijackThis\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Ocs_SM] C:\Users\Lohmar\AppData\Roaming\OCS\SM\SearchAnonymizer.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Google Update] "C:\Users\Lohmar\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [mcexecwin] rundll32.exe C:\Users\Lohmar\AppData\Local\Temp\efes3712n.dll, RestoreWindows
O4 - HKCU\..\Run: [hsf87efjhdsf87f3jfsdi7fhsujfd] C:\Users\Lohmar\AppData\Local\Temp\svchost.exe
O4 - HKCU\..\Run: [YVIBBBHA8C] C:\Users\Lohmar\AppData\Local\Temp\Ixr.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: SearchAnonymizer - Unknown owner - C:\Users\Lohmar\AppData\Roaming\OCS\SM\SearchAnonymizerHelper.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe

--
End of file - 3986 bytes

ICh hoffe einer von euch kann mir helfen. Danke!

Ich glaub das ist ein Virus,
der die wichtige Datei svchost.exe manipuliert.
Sonst ist nichts auffälliges zu sehen.

Dann das HijackThis Logfile nochmals auswerten und posten.
Dann einen Scan mit Malwarebytes starten.

Wie hießen die Viren,
die Avira gefunden hat?

Zwei Trojaner wird schwierig!
Setze die Dateien in die Quarantäne,
wenn der Scan beendet ist.
Welcher der beiden Viren hat mit svchost.exe zu tun?
Scan mal die Dateien bei Virustotal.
hxxp://www.virustotal.com/de/

Poste bitte mal den Link zum Ergebnis von Virustotal.
Das Logfile von HijackThis bräuchte ich auch noch.
Was sagt Malwarebytes?

Ok und was soll ich da am besten gegen amchen? Hab Antivir schon 3 mal durchlaufen lassen, beim 3ten Mal hat er nix mehr gefunden...

Er hat jetzt grade noch zwei gefunden, einer der was mit svchost.exe zu tun hatte...

Einer heißt TR/ Erfor B30

Der andere heißt TR/Click Hatigh C30

Die letztere von beiden.

Und bei Virustotal kommt nur bei einer von beiden Dateien ein Treffer, allerdings nur 1/41, da steht als Ergebnis Trojan Collector 150

Hier der Link:

hxxp://www.virustotal.com/de/analisis/07cb6e3f4833763c204f6abfb527569a63b6fd7504ec26c19fa66a12e6594600-1272279193

Hier das Log:

Zitat:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:01:11, on 26.04.2010
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Windows\Explorer.EXE
C:\Users\Lohmar\AppData\Local\Temp\Ixq.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\ICQ7.0\ICQ.exe
C:\Users\Lohmar\AppData\Local\Temp\Ixr.exe
C:\Users\Lohmar\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Lohmar\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Lohmar\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\HijackThis\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Ocs_SM] C:\Users\Lohmar\AppData\Roaming\OCS\SM\SearchAnonymizer.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [Google Update] "C:\Users\Lohmar\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [YVIBBBHA8C] C:\Users\Lohmar\AppData\Local\Temp\Ixr.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: SearchAnonymizer - Unknown owner - C:\Users\Lohmar\AppData\Roaming\OCS\SM\SearchAnonymizerHelper.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe

--
End of file - 3889 bytes

Anti-Malware läuft noch.

Hat bereits 5 Funde...

Im Moment passiert nichts mehr, mal abwarten wie lange noch

Ist anscheinend die neueste Version, erst vor 5 Tagen erschienen.

Hab eben auch 3 verdächtige Dateien aus meinem Temp Ordner gelösch "ixq" "ixr" und "Ixm", alles exe dateien....kann das damit zusammenhängen, dass das nicht mehr auftritt?

Hat Malwarebytes schon Funde?
Besteht das Problem noch?

Dann würde ich mal HijackThis auf die neuste Version aktualiesiren.
Du hast noch Version 2.0.4!

Hast du die Dateien mit einem Schredder gelöscht?
Viren könnten,
wenn du Pech hast,
sich so wiederherstellen.
Mit der Version:
Im Logfile stand,
die Version sei nicht aktuell.

Was lernt man daraus?
Dateien sollte man grundsätzlich nicht öffnen,
die von unbekannten kommen.
Außerdem,
wenn man die öffnet,
sollte man auch einen Virenschutz für Messenger verwenden.
Hab eben über Skype ähnliches bekommen,
ein Link zu einer Phishing Seite.
Ich verwende WOT und WOT warnte mich.

Hm ne -_-

Auf so Ideen komm ich nit

Aber danke schonmal für die viele Hilfe!

Ok, war auch wieder da, aber habs jetzt über HijackThis gelöscht.

Läuft noch, ich schreibe wenns durch ist.

Eigentlich nichts wo sowas herkommen könnte.

Aber ich hab ne Vermutung wo das her ist.
Das ICQ von ner Freundin hat letztens Dateien inklusive Kommentar verschickt, da waren anscheinend jede Menge Viren drin. Denke das könnte daher kommen.

Jau, das stimmt wohl.
Werd ich mal ausprobieren.
Aber scheint ejtzt auch vorbei zu sein, läuft alles wieder reibungslos.
Vielen Dank also für die Hilfe!

5 Stücke hatte es. Jetzt alle gelöscht durch das Programm.

Bisher nach dem Neustart alles super.

Jop läuft alles reibungslos!

Schein den Dreck endlich los zu sein

Danke!

Und jetzt nach dem Virenbefall.
Unbedingt Theart Fire downloaden!
Link:
hxxp://www.threatfire.com/de/
Verträgt sich mit anderen AV Programmen.

Starte mal den Rechner neu.
Mal sehen wie es dann aussieht.
Und:
Wie viel Funde hat Malwarebytes?