Trojaner-Board - IE Explorer 6.0

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - IE Explorer 6.0 (https://www.trojaner-board.de/6029-ie-explorer-6-0-a.html)

hallo
ich habe seit ein paar tagen das problem, dass sich mein internet explorer immer und immer wieder öffnet und eine startseite erstellt.
ist das ein virus?
habe das system mit norton antivirus durchgescannt, aber nichts gefunden.
weiss jemand abhilfe?
besten dank
gruss
tristram

Hallo!

<blockquote>Zitat:<hr />Original erstellt von tristram:
ich habe seit ein paar tagen das problem, dass sich mein internet explorer immer und immer wieder öffnet und eine startseite erstellt.
ist das ein virus?[/QUOTE]Ja, das ist beim Internet Explorer auch nichts Ungewöhnliches. Wenn du z.B. einige bereits bestehende Threads anschaust, wirst du feststellen, dass BrowserHijacking (leider) geradezu eine Seuche ist. :(

<blockquote>Zitat:<hr />habe das system mit norton antivirus durchgescannt, aber nichts gefunden.
weiss jemand abhilfe?[/QUOTE]Ja! LogFile erstellen und Inhalt hier posten. Dann sehen wir weiter...

hallo markus
vielen dank!
anbei also das log file

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\gjhlyzc.exe
C:\windows\system32\msbb.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\unzipped\hijackthis1977[1]\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.euro.dell.com/
R3 - URLSearchHook: (no name) - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
R3 - URLSearchHook: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\ATPART~1.DLL
O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINDOWS\mxTarget.dll
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [websx] C:\Programme\websx\int86890.exe -auto
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\SysUpd.exe
O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [updater] C:\Programme\Common files\updater\wupdater.exe
O4 - HKLM\..\Run: [nipvwxtvdvv] C:\WINDOWS\System32\gjhlyzc.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [msbb] c:\windows\system32\msbb.exe
O4 - HKLM\..\Run: [lafib] C:\WINDOWS\lafib.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [System Update2] c:\dokume~1\campor~1\anwend~1\system.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {08BEF711-06DA-48B2-9534-802ECAA2E4F9} (PlxInstall Class) - http://www.plaxo.com/activex/PlaxoInstall.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/171e2e03...dxIE601_de.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...950.4540277778
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D639B191-5F23-41D8-A81C-3B95FC367998}: NameServer = 212.101.4.251 212.101.0.10

<blockquote>Zitat:<hr />Original erstellt von mmk:
Hallo!

<blockquote>Zitat:<hr />Original erstellt von tristram:
ich habe seit ein paar tagen das problem, dass sich mein internet explorer immer und immer wieder öffnet und eine startseite erstellt.
ist das ein virus?[/QUOTE]Ja, das ist beim Internet Explorer auch nichts Ungewöhnliches. Wenn du z.B. einige bereits bestehende Threads anschaust, wirst du feststellen, dass BrowserHijacking (leider) geradezu eine Seuche ist. :(

<blockquote>Zitat:<hr />habe das system mit norton antivirus durchgescannt, aber nichts gefunden.
weiss jemand abhilfe?[/QUOTE]Ja! LogFile erstellen und Inhalt hier posten. Dann sehen wir weiter... [/QUOTE]

[ 26. Juni 2004, 11:15: Beitrag editiert von: tristram ]

<blockquote>Zitat:<hr />Original erstellt von tristram:
anbei also das log file[/QUOTE]Es fehen die Angaben zu System und Internet Explorer. Bitte ggf. nachreichen!

Diese Datei C:\WINDOWS\System32\gjhlyzc.exe
bitte bei Kaspersky prüfen und Ergebnis hier nennnen:

http://www.kaspersky.com/de/scanforvirus

Zur Entfernung dieser Foistware:
C:\windows\system32\msbb.exe

...bitte meinen Tipps in diesem Thread folgen:
http://www.trojaner-board.de/forum/u...;f=24;t=000036

R3 - URLSearchHook: (no name) - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
R3 - URLSearchHook: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\ATPART~1.DLL
O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINDOWS\mxTarget.dll
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL

Wichtig! Falls über Analog / ISDN theoretisch eine EInwahl möglich wäre (eingestecktes Analogmodem z.B.), den Dialer erst sichern, und nicht gleich löschen!
O4 - HKLM\..\Run: [websx] C:\Programme\websx\int86890.exe -auto

O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [updater] C:\Programme\Common files\updater\wupdater.exe
O4 - HKLM\..\Run: [nipvwxtvdvv] C:\WINDOWS\System32\gjhlyzc.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [msbb] c:\windows\system32\msbb.exe
O4 - HKLM\..\Run: [lafib] C:\WINDOWS\lafib.exe
O4 - HKCU\..\Run: [System Update2] c:\dokume~1\campor~1\anwend~1\system.exe

O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

O16 - DPF: {08BEF711-06DA-48B2-9534-802ECAA2E4F9} (PlxInstall Class) - h+tp://www.plaxo.com/activex/PlaxoInstall.cab

Wenn fertig, lass nochmal eScan ( http://www.trojaner-board.de/forum/u...;f=24;t=000001 ) im abgesicherten Modus drüberlaufen (updaten der Signaturen vorher nicht vergessen), und poste dann nochmal ein LogFile zur Kontrolle. Browserwechsel nicht vergessen!

[ 27. Juni 2004, 20:55: Beitrag editiert von: mmk ]

Eine Moderatorin von Trojaner-board.de erwaehnte in ihrer Aufzaehlung den Online-Viren/Trojaner-Scan

www.johannrain-softwareentwicklung.de

Ist dieser Online-Scan gut oder amateurhaft?

Jim

Dies ist nur eine (der vielen) Seiten auf denen normale Online-Virenscanner verlinkt sind.

Wahrscheinlich meinte sie diese Auflistung:
http://www.johannrain-softwareentwic...virensuche.htm

Ja, die Scanner sind zwar durchaus brauchbar, hin und wieder machen aber unsichere Active X Controls die Geschichte insgesamt etwas problematisch. Sie funktionieren auch nur mit dem IE.

Hallo Markus,

ich habe gerade
http://www.johannrain-softwareentwic...virensuche.htm
von BitDefender durchlaufen lassen, indem ich fuer diesen Fall mal den IE benutzt habe. Dieser Online-Virenscanner hat ganz schoen lange gescannt, weil ich mein gesamtes Laptop scannen liess. Er hat nichts gefunden. Sind Online-Virenscanner besser oder zumindest genauso gut wie Kasperski? Bevorzugst Du Kasperski oder Antivir.de, was bei chip.de an erster Stelle bei Anti-Viren-Software steht.

Gruesse,

Jim