Internet Explorer startet selbstständig mit Werbung.

We.are.One · 18.05.2011, 17:38

Hallo Leute,

ja ich weiß, dieses thema ist schon oft aufgetaucht, allerdings finde ich in diesem, sowie in anderen Foren keine Lösung für mein problem

Also zur beschreibung:

IE öffnet sich selbständig wenn mein Laptop (Toshiba Satellite P300D-11W) ans Internet angeschlossen ist.
Die Werbung geht von Tchibo bis zu Partnerbörsen und sonstigem...

Hab schonmal mit HijackThis nen log gemacht:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18:22:25, on 18.05.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\O2Micro Flash Memory Card Driver\o2flash.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\TEMP\Mb2.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpCtr.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
D:\Programme\Safari\Safari.exe
C:\WINDOWS\Msaguc.exe
C:\TEMP\Mb1.exe
C:\TEMP\f29chgfq.tmp\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Camera Assistant Software] "C:\Programme\Camera Assistant Software for Toshiba\traybar.exe" /start
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 10.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SNJQ66R8MU] C:\TEMP\Mb1.exe
O4 - HKCU\..\Run: [OO1310T0QS] C:\TEMP\Mcc.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
O9 - Extra button: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - D:\Programme\ICQ7.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - D:\Programme\ICQ7.5\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1305375068789
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Programme\O2Micro Flash Memory Card Driver\o2flash.exe

--
End of file - 6937 bytes

Ich hoffe sehr, dass mir jemand weiterhelfen kann!..

an alle schon mal danke im vorraus

Gruß We.are.One!

markusg · 18.05.2011, 17:41

hi,
na ich denke dein thema wird auch nicht das letzte sein h:-)
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

We.are.One · 18.05.2011, 17:49

oke er läuft nun... wie lang dauert das erstellen der files denn ?

markusg · 18.05.2011, 17:50

weis ich nicht genau, kommt auf den pc an, schalte alle hintergrund programme aus, arbeite nicht am pc dann gehts evtl. schneller, rund 40 minuten vllt.

We.are.One · 18.05.2011, 17:50

ich würde mal sagen der schaut ja nach den in den letzen 30 tagen neu erstellten dateien oder ?... das könnte etwas länger dauern , da ich auf meinen laptop der eigentlich mit vista lief, aber irgendwann vista zerschossen war, xp installieren hab lassen.. da sind einige dateien die er durchsuchen könnte...

markusg · 18.05.2011, 17:51

wieso hast du ihn nicht vernünftig neu aufsetzen lassen, so ein quatsch nen nicht mehr funktionierendes bs zu behalten, kostet doch platz...

We.are.One · 18.05.2011, 17:53

ja schon klar, nur ich bin im moment bisschen knapp bei kasse...
platz ist noch genug da und er läuft an sonsten auch einwandfrei.
es ist nur das problem mit den internet pop-ups da

so er ist ferig, soll ich die files kopieren und posten oder irgendwo anhängen ?

so im anhang wären dann die beiden dateien.

markusg · 18.05.2011, 18:15

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
PRC - C:\WINDOWS\Msaguc.exe (Simon Tatham)

PRC - C:\TEMP\Mb2.exe (Simon Tatham)
PRC - C:\TEMP\Mb1.exe (Simon Tatham)
PRC - C:\Programme\O2Micro Flash Memory Card Driver\o2flash.exe (O2Micro International)
O4 - HKU\S-1-5-21-1844237615-484061587-1177238915-1003..\Run: [OO1310T0QS] C:\TEMP\Mcc.exe (Simon Tatham)
O4 - HKU\S-1-5-21-1844237615-484061587-1177238915-1003..\Run: [SNJQ66R8MU] C:\TEMP\Mb1.exe (Simon Tatham)
[2011.05.18 14:51:30 | 000,141,312 | ---- | C] (Simon Tatham) -- C:\WINDOWS\Msaguc.exe
[2011.05.18 14:50:18 | 000,141,312 | ---- | C] (Simon Tatham) -- C:\WINDOWS\Msagub.exe
[2011.05.17 16:02:59 | 000,141,312 | ---- | M] (Simon Tatham) -- C:\WINDOWS\Msagua.exe
:Files
C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
C:\WINDOWS\System32\sshnas21.dll
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

öffne arbeitsplatz , öffne D: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
http://www.trojaner-board.de/54791-a...ner-board.html

We.are.One · 18.05.2011, 18:30

okay ich hab das alles gemacht und er wollte einen neustart...
allerdings ist der erste neustart direkt mal fehlgeschlagen, und ich hab ihn "mit der als letztes funktionierenden einstellung" wieder hochgefahren...

das file kam allerdings trotzdem!...

All processes killed
========== OTL ==========
No active process named Msaguc.exe was found!
No active process named Mb2.exe was found!
No active process named Mb1.exe was found!
No active process named o2flash.exe was found!
Registry value HKEY_USERS\S-1-5-21-1844237615-484061587-1177238915-1003\Software\Microsoft\Windows\CurrentVersion\Run\\OO1310T0QS deleted successfully.
C:\TEMP\Mcc.exe moved successfully.
Registry value HKEY_USERS\S-1-5-21-1844237615-484061587-1177238915-1003\Software\Microsoft\Windows\CurrentVersion\Run\\SNJQ66R8MU deleted successfully.
C:\TEMP\Mb1.exe moved successfully.
C:\WINDOWS\Msaguc.exe moved successfully.
C:\WINDOWS\Msagub.exe moved successfully.
C:\WINDOWS\Msagua.exe moved successfully.
========== FILES ==========
C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job moved successfully.
C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job moved successfully.
C:\WINDOWS\System32\sshnas21.dll moved successfully.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default User

User: Johannes
->Flash cache emptied: 7184 bytes

User: LocalService

User: NetworkService

Total Flash Files Cleaned = 0,00 mb

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Johannes
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 15638694 bytes
->Java cache emptied: 19093 bytes
->Apple Safari cache emptied: 80870400 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 75088 bytes
->Temporary Internet Files folder emptied: 33237 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 7029 bytes
Session Manager Temp folder emptied: 295848652 bytes
Session Manager Tmp folder emptied: 314 bytes
RecycleBin emptied: 223455416 bytes

Total Files Cleaned = 588,00 mb

OTL by OldTimer - Version 3.2.22.3 log created on 05182011_192128

Files\Folders moved on Reboot...
C:\TEMP\MPC76.tmp moved successfully.

Registry entries deleted on Reboot...

We.are.One · 18.05.2011, 18:38

soo ich hab das beim upload channel hochgeladen, und da steht auch, dass das funktioniert hat, aber ich hier scheint es ja noch nicht zu sein oder ?

markusg · 18.05.2011, 18:40

ne ist ja auch gut so, sonst infiziert sich noch wer mit malware.
der upload ist nur für leute mit dem richtigen passwort sichtbar und in einem anderem foren bereich.

download malwarebytes:
Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.

We.are.One · 18.05.2011, 19:48

soo das wäre das ergebnis ! ich glaube das wars oder ?

markusg · 19.05.2011, 10:45

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

We.are.One · 19.05.2011, 14:29

muss das unbedingt sein ... ?
aber wenn geht das erst später am nchmittag weil ich im moment noch keine zeit dazu finde...

aber was gut ist, ist das die werbe pop-ups schon mal nicht mehr auftauchen

markusg · 19.05.2011, 14:57

nö, ich mach das hier alles nur zu meinem vergnügen.... na sicher muss das sein. :-)

18.05.2011, 17:51	#6
markusg /// Malware-holic	Internet Explorer startet selbstständig mit Werbung. wieso hast du ihn nicht vernünftig neu aufsetzen lassen, so ein quatsch nen nicht mehr funktionierendes bs zu behalten, kostet doch platz... __________________ --> Internet Explorer startet selbstständig mit Werbung.

Internet Explorer startet selbstständig mit Werbung.

Log-Analyse und Auswertung: Internet Explorer startet selbstständig mit Werbung.