Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   IE öffnet unzählige Fenster (https://www.trojaner-board.de/23338-ie-oeffnet-unzaehlige-fenster.html)

tom9 04.11.2005 20:32
IE öffnet unzählige Fenster
 
Hallo,
während der Benutzung öffnet der Internet Explorer unzählige Fenster (zwischen 14 und 56 Fenster). Im Adressfeld steht dann folgende Adressmeldung: http://www7.logih.com/777/help.asp

Hier das Hijackthis Logfile - DANKE im voraus für Unterstützung

Logfile of HijackThis v1.99.1
Scan saved at 20:18:58, on 04.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Iomega\AutoDisk\ADUserMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\OPLIMIT\ocrawr32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Besitzer.THOMAS-GSOCY888\Eigene Dateien\Anti-Viren-Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
F3 - REG:win.ini: load=C:\OPLIMIT\ocraware.exe
O2 - BHO: (no name) - {893fad3a-931e-4e53-b515-b1426d63799b} - C:\WINDOWS\system32\hp6B9A.tmp (file missing)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] c:\programme\iomega zip\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] c:\programme\iomega zip\DriveIcons\deskup.exe /IMGSTART
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{380BDB13-DFC2-4B7E-8262-2D1DD8FFA40B}: NameServer = 62.53.221.83 193.189.244.205
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Programme\Iomega\AutoDisk\ADService.exe

felix1 04.11.2005 20:35
Folge mal der Anleitung von Cacatoa im Post 2:

http://www.trojaner-board.de/showthread.php?t=23237

tom9 04.11.2005 22:16
Nochmals hallo,
bin der Anleitung von cacatoa im Post 2 gefolgt - folgende Ergebnisse:

1. webroot spyaudit
- Trojaner (Liste anzeigen)
(Liste schließen)
trojan-downloader-zlob
- Adware (Liste anzeigen)
(Liste schließen)
logih adware
spysheriff
security2k hijacker
popuper
- Adware-Cookies (Liste anzeigen)
(Liste schließen)
adultfriendfinder cookie


2. Ewido
---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 21:44:13, 04.11.2005
+ Report-Checksumme: FE1FB5B0

+ Scanergebnis:

C:\Dokumente und Einstellungen\Besitzer.THOMAS-GSOCY888\Cookies\besitzer@as1.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer.THOMAS-GSOCY888\Cookies\besitzer@atdmt[1].txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer.THOMAS-GSOCY888\Cookies\besitzer@cs.sexcounter[2].txt -> Spyware.Cookie.Sexcounter : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer.THOMAS-GSOCY888\Cookies\besitzer@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer.THOMAS-GSOCY888\Cookies\besitzer@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer.THOMAS-GSOCY888\Cookies\besitzer@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer.THOMAS-GSOCY888\Cookies\besitzer@sexlist[2].txt -> Spyware.Cookie.Sexlist : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer.THOMAS-GSOCY888\Lokale Einstellungen\Temp\6.exe -> Dialer.Generic : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer.THOMAS-GSOCY888\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OLQRSPQR\dl[1].gif -> TrojanDownloader.Small : Gesäubert mit Backup
:mozilla.12:C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla\Profiles\default\zwrhrec0.slt\cookies.txt -> Spyware.Cookie.Sexlist : Gesäubert mit Backup
:mozilla.13:C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla\Profiles\default\zwrhrec0.slt\cookies.txt -> Spyware.Cookie.Sexlist : Gesäubert mit Backup
:mozilla.14:C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla\Profiles\default\zwrhrec0.slt\cookies.txt -> Spyware.Cookie.Sexlist : Gesäubert mit Backup
:mozilla.15:C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla\Profiles\default\zwrhrec0.slt\cookies.txt -> Spyware.Cookie.Sexlist : Gesäubert mit Backup
:mozilla.16:C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla\Profiles\default\zwrhrec0.slt\cookies.txt -> Spyware.Cookie.Paycounter : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@tfag[2].txt -> Spyware.Cookie.Tfag : Gesäubert mit Backup
C:\ms32.exe -> TrojanDownloader.Small : Gesäubert mit Backup
C:\System Volume Information\_restore{F2A6F6AE-78BC-4CD3-B984-FCB77ECB3535}\RP8\A0008314.exe -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\WINDOWS\SYSTEM32\ld69B6.tmp -> TrojanDownloader.Agent.uz : Gesäubert mit Backup
C:\WINDOWS\SYSTEM32\ld6B5C.tmp -> TrojanDownloader.Agent.uz : Gesäubert mit Backup
C:\WINDOWS\SYSTEM32\ldDF69.tmp -> TrojanDownloader.Agent.uz : Gesäubert mit Backup

::Report Ende


3. LSP-fix liefert folgendes -> was soll ich tun ?
File Description
winmr.dll NTDS
rsvpsp.dll (Protocol handler)
mswsock.dll TCP/IP



Und hier noch das aktuelle HJT Logfile

Logfile of HijackThis v1.99.1
Scan saved at 22:05:39, on 04.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Dokumente und Einstellungen\Besitzer.THOMAS-GSOCY888\Eigene Dateien\Anti-Viren-Programme\security suite\ewidoctrl.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Iomega\AutoDisk\ADUserMon.exe
C:\Dokumente und Einstellungen\Besitzer.THOMAS-GSOCY888\Eigene Dateien\Anti-Viren-Programme\security suite\ewidoguard.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Messenger\msmsgs.exe
C:\OPLIMIT\ocrawr32.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Besitzer.THOMAS-GSOCY888\Eigene Dateien\Anti-Viren-Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
F3 - REG:win.ini: load=C:\OPLIMIT\ocraware.exe
O2 - BHO: HomepageBHO - {893fad3a-931e-4e53-b515-b1426d63799b} - C:\WINDOWS\system32\hp61B7.tmp (file missing)
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] c:\programme\iomega zip\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] c:\programme\iomega zip\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Dokumente und Einstellungen\Besitzer.THOMAS-GSOCY888\Eigene Dateien\Anti-Viren-Programme\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Dokumente und Einstellungen\Besitzer.THOMAS-GSOCY888\Eigene Dateien\Anti-Viren-Programme\security suite\ewidoguard.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Programme\Iomega\AutoDisk\ADService.exe

felix1 04.11.2005 22:28
Was ist mit den Fenstern. Tritt das noch auf. Ich kann nicht "Hellsehen".:o

tom9 04.11.2005 22:35
ich habe den IE mal ein paar Minuten rennen lassen - sieht ganz gut aus, d.h. bisher ist das Problem dem Fensteröffnen nicht mehr aufgetreten

denkst du, ich muss noch etwas unternehmen ??

Wildone 04.11.2005 23:01
Hallo,
nur zur Information, hier liegt/lag keine look2me Verseuchung vor, dieser O20 Eintrag:
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
ist wahrscheinmlich die Intelgrafikkarte.
und somit ist die Anleitung von Cacatoa nur bedingt richtig.
Hier ist der Knackpunkte der O21 Eintrag:
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll
nährer Infos darüber hier.
Ob Spysweeper auch das restlos bereinigen kann weiß ich nicht, ist aber möglich.



Grüße Wildone

felix1 04.11.2005 23:04
Zitat:
Zitat von tom9
ich habe den IE mal ein paar Minuten rennen lassen - sieht ganz gut aus, d.h. bisher ist das Problem dem Fensteröffnen nicht mehr aufgetreten

denkst du, ich muss noch etwas unternehmen ??
Nee, nur beobachten. Melden, sobald etwas eintritt:dummguck:

tom9 05.11.2005 07:27
zunächst mal besten Dank für die Unterstützung !
Im Moment sieht alles ganz ordentlich aus :party: ... falls nochmals etwas sein sollte, melde ich mich wieder


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:53 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131