Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Internetexplorer öffnet sich immer von alleine (https://www.trojaner-board.de/38442-internetexplorer-oeffnet-immer-alleine.html)

aknr 29.04.2007 12:57
Internetexplorer öffnet sich immer von alleine
 
Hallo,

ich bräuchte Hilfe, da mein Internetexplorer sich in den letzten Tagen entweder direkt nach dem Hochfahren, oder wenn ich den Firefox benutze, selbst öffnet und mich auf irgendwelche Seiten lenkt, bei denen Antispy und Antivirus-Software angeboten wird.

Ich habe Avast Antivirus , Ad-Aware und Spybot S&D mehrfach laufen/prüfen lassen, allerdings ohne, dass etwas gefunden wurde!

Vielen Dank schon mal für Eure Hilfe!

Hier mein HijackThis log-file:

Logfile of HijackThis v1.99.1
Scan saved at 13:20:12, on 29.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\FOLDER~2\FGKey.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Program Files\PowerManager\PowerManager.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\D-Link\Air USB Utility\AirCFG.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\stickies\stickies.exe
D:\Originaldateien\HijackThis 1.99.1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://bookmarks.bluewin.ch/d/searchpane.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**ps://***/logon_de.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [PowerManager] C:\Program Files\PowerManager\PowerManager.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [pmsetup] 1
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Program Files\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\nnrisksd.dll",realset
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SSS2006] "C:\Program Files\Steganos Security Suite 2006\SSS2006.exe" -boot
O4 - Startup: Stickies.lnk = C:\Program Files\stickies\stickies.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Bluewin Assistant - {0EBC783B-F8FE-4dc5-B5F0-7C80AB218AE2} - C:\Program Files\Bluewin\Assistant\bwa.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=h**p://www.bluewin.ch
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126392173385
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1126473201371
O17 - HKLM\System\CCS\Services\Tcpip\..\{A95958BE-7A0F-4189-8D49-08FAE7F19768}: NameServer = ***
O17 - HKLM\System\CCS\Services\Tcpip\..\{D79BBBC2-2720-470F-A407-4D035BFCFFCD}: NameServer = ***
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = vpn.***.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = vpn.***.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = vpn.***.de
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

Rene-gad 29.04.2007 13:14
@aknr
Zitat:
O4 - HKLM\..\Run: [pmsetup] 1
Bitte fixen.
Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{A95958BE-7A0F-4189-8D49-08FAE7F19768}: NameServer = ***
O17 - HKLM\System\CCS\Services\Tcpip\..\{D79BBBC2-2720-470F-A407-4D035BFCFFCD}: NameServer = ***
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = vpn.***.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = vpn.***.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = vpn.***.de
Du musstest die Links deaktivieren, aber nicht verunstalten.

aknr 29.04.2007 14:36
Es tut mir leid, aber ich bekomme meinen Laptop nicht im "safe mode" gestartet. Er fährt hoch und bleibt dann mit schwarzem Bildschirm stehen, in den Ecken steht jeweils "Safe mode".

Was soll ich jetzt machen?

Sorry für die Umstände, aber ich bin nicht so der Computer-Profi.

Vielen Dank.

Rene-gad 29.04.2007 14:39
Zitat:
Zitat von aknr (Beitrag 265662)
Was soll ich jetzt machen?
Warum willst du im absgesicherten Modus starten?

aknr 29.04.2007 14:54
Zitat:
Zitat von Rene-gad (Beitrag 265664)
Warum willst du im absgesicherten Modus starten?
Hatte beim download von HijackThis irgendwo gelesen, dass das fixen nur im "safe mode" ausgeführt werden sollte.

Habe jetzt die betreffende Stelle einmal gefixt. Beim nächsten Scan taucht sie allerdings wieder auf!

Zudem passiert es momentan, dass das Program aufgrund eines Fehlers geschlossen werden muss.

Error signature lautet:
AppName: hijackthis.exe AppVer: 1.99.0.1 ModName: awtsr.dll
ModVer: 0.0.0.0 Offset: 000361b1

Apocalypt 29.04.2007 14:56
Welche Stelle taucht wieder auf?

aknr 29.04.2007 14:59
Bei einem erneuten Scan. Die Stelle die ich fixen sollte.
"O4 - HKLM\..\Run: [pmsetup] 1"

BlackM 29.04.2007 15:01
Zitat:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://bookmarks.bluewin.ch/d/searchpane.html
unbedingt fixen

Zitat:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**ps://***/logon_de.asp
fixen

Zitat:
O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\nnrisksd.dll",realset

auch fixen

aknr 29.04.2007 15:08
"R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**ps://***/logon_de.asp"

Dieser Eintrag ist lediglich die Startseite die zum ProfiMailer von 1und1 führt!
Soll diese wirklich gefixt werden?

Apocalypt 29.04.2007 15:11
Nein sollte sie nicht!

Franz1968 29.04.2007 15:15
Zitat:
Zitat:O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\nnrisksd.dll",realset


auch fixen
Bitte (noch) nicht fixen, sondern die Datei nnrisksd.dll bei virustotal.com hochladen und Prüfergebnis hier posten.

aknr 29.04.2007 15:27
Sorry, habe es schon gefixt. Die Suche nach "nnrisksd.dll" ergab kein Suchergebnis.
Das Problem mit dem sich selbständig öffnenden IE besteht aber weiterhin! Auch der Firefox öffnet jetzt momentan selbständig irgendwelche neuen Browserfenster.

Franz1968 29.04.2007 15:35
Hast du versteckte Dateien sichtbar gemacht?
Falls die Datei immer noch nicht aufzufinden ist, gehe zu virustotal.com und gib in das Eingabefeld oben rechts exakt den folgenden Pfad ein:
C:\WINDOWS\system32\nnrisksd.dll

aknr 29.04.2007 18:51
Ich habe alle versteckten Ordner und geschützten Systemdateien sichtbar gemacht. Trotzdem kommt bei der Suche kein Ergebnis raus. Bei dem Versuch die Datei hochzuladen, bekomme ich die Meldung dass 0 bytes hochgeladen wurden. Demnach ist diese Datei wohl nicht mehr vorhanden.

Ich habe gerade noch mal gescannt und folgende 2 Einträge gefunden, die mir komisch vorkommen.
Ich lasse diese beiden gerade von virustotal.com überprüfen.
Poste danach das Ergebnis.

aknr 29.04.2007 18:58
Bei den 2 Einträgen handelt es sich um:

O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\qixigmdo.dll",realset
O4 - HKLM\..\Run: [PrintDrive] rundll32.exe "C:\WINDOWS\system32\rlbrcsxg.dll",setvm

Das Ergebnis von virustotal.com lautet:

1.) Complete scanning result of "qixigmdo.dll", received in VirusTotal at 04.29.2007, 19:43:45 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.4.28.0 04.27.2007 no virus found
AntiVir 7.4.0.15 04.29.2007 ADSPY/Virtumonde.HB.6
Authentium 4.93.8 04.27.2007 no virus found
Avast 4.7.981.0 04.26.2007 no virus found
AVG 7.5.0.467 04.29.2007 Adware Generic2.RA
BitDefender 7.2 04.29.2007 Adware.Virtumonde.GEP
CAT-QuickHeal 9.00 04.28.2007 Adware.Virtumonde.gen
ClamAV devel-20070416 04.29.2007 Trojan.Packed-7
DrWeb 4.33 04.29.2007 Trojan.Virtumod
eSafe 7.0.15.0 04.29.2007 no virus found
eTrust-Vet 30.7.3601 04.27.2007 no virus found
Ewido 4.0 04.29.2007 no virus found
FileAdvisor 1 04.29.2007 no virus found
Fortinet 2.85.0.0 04.29.2007 suspicious
F-Prot 4.3.2.48 04.27.2007 no virus found
F-Secure 6.70.13030.0 04.29.2007 no virus found
Ikarus T3.1.1.5 04.29.2007 not-a-virus:AdWare.Win32.Virtumonde.hb
Kaspersky 4.0.2.24 04.29.2007 not-a-virus:AdWare.Win32.Virtumonde.hb
McAfee 5019 04.27.2007 no virus found
Microsoft 1.2405 04.29.2007 no virus found
NOD32v2 2227 04.29.2007 Win32/Adware.Virtumonde
Norman 5.80.02 04.27.2007 W32/Virtumonde.GIT
Panda 9.0.0.4 04.29.2007 no virus found
Prevx1 V2 04.29.2007 no virus found
Sophos 4.17.0 04.28.2007 no virus found
Sunbelt 2.2.907.0 04.19.2007 VIPRE.Suspicious
Symantec 10 04.29.2007 no virus found
TheHacker 6.1.6.088 04.09.2007 no virus found
VBA32 3.11.4 04.29.2007 no virus found
VirusBuster 4.3.7:9 04.29.2007 no virus found
Webwasher-Gateway 6.0.1 04.29.2007 Ad-Spyware.Virtumonde.HB.6

2.) Complete scanning result of "rlbrcsxg.dll", received in VirusTotal at 04.29.2007, 19:45:13 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.4.28.0 04.27.2007 no virus found
AntiVir 7.4.0.15 04.29.2007 TR/Agent.123952
Authentium 4.93.8 04.27.2007 no virus found
Avast 4.7.981.0 04.26.2007 no virus found
AVG 7.5.0.467 04.29.2007 Adware Generic2.DO
BitDefender 7.2 04.29.2007 Trojan.Vundo.AN
CAT-QuickHeal 9.00 04.28.2007 Adware.Virtumonde.gen (Not a Virus)
ClamAV devel-20070416 04.29.2007 Trojan.Packed-7
DrWeb 4.33 04.29.2007 Trojan.Virtumod
eSafe 7.0.15.0 04.29.2007 no virus found
eTrust-Vet 30.7.3601 04.27.2007 no virus found
Ewido 4.0 04.29.2007 no virus found
FileAdvisor 1 04.29.2007 no virus found
Fortinet 2.85.0.0 04.29.2007 suspicious
F-Prot 4.3.2.48 04.27.2007 W32/Adware.IPC
F-Secure 6.70.13030.0 04.29.2007 Vundo.gen18
Ikarus T3.1.1.5 04.29.2007 not-a-virus:AdWare.Win32.Virtumonde.hb
Kaspersky 4.0.2.24 04.29.2007 not-a-virus:AdWare.Win32.Virtumonde.hb
McAfee 5019 04.27.2007 potentially unwanted program Vundo
Microsoft 1.2405 04.29.2007 Trojan:Win32/Vundo.K
NOD32v2 2227 04.29.2007 Win32/Adware.Virtumonde
Norman 5.80.02 04.27.2007 Vundo.gen18
Panda 9.0.0.4 04.29.2007 Spyware/Virtumonde
Prevx1 V2 04.29.2007 no virus found
Sophos 4.17.0 04.28.2007 Virtumundo
Sunbelt 2.2.907.0 04.19.2007 VIPRE.Suspicious
Symantec 10 04.29.2007 Trojan Horse
TheHacker 6.1.6.095 04.15.2007 no virus found
VBA32 3.11.4 04.29.2007 AdWare.Win32.Virtumonde.hb
VirusBuster 4.3.7:9 04.29.2007 Adware.Vundo.Gen!Pac.8
Webwasher-Gateway 6.0.1 04.29.2007 Trojan.Agent.123952


Kann ich diese Dateien einfach fixen??


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:09 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131