Trojaner-Board - I.E. startet immer wieder automatisch

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - I.E. startet immer wieder automatisch (https://www.trojaner-board.de/63398-i-e-startet-immer-automatisch.html)

I.E. startet immer wieder automatisch

Hallo Forum,

an meinem PC startet ständig automatisch der Internet Explorer. Teilweise sind 30 - 40 Fenster geöffnet. Ein Scan des PCs mit Ad Aware, Spyware Doctor 6.0 und Anti Vir (alles mit den aktuellsten Definitionsdateien) zeigt keine Infektionen des Systems an. Ich habe das Programm Hijack drüberlaufen lassen und poste mal das Hijack-Log (von einem anderen Rechner, da ich mit dem "infizierten Rechner" überhaupt nicht mehr ins Interne komme weil ständig die I.E. Fenster aufgehen. Ich hoffe, das ich mr jetzt nicht noch diesen Rechner infiziert habe und bitte Euch um Rat.

Vielen Dank im Voraus und viele Güße

Gitta39

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:17:22, on 01.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\S3hotkey.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\S3tray2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 4797 bytes

Hallo Forum,

ich habe heute das System neu aufgesetzt. Nachdem ich Windows installiert habe und der PC das erste Mal gestartet ist kommen sofort die Internet-Explorer Fenster wieder. Was kann das sein? Vielleicht ein Schädling im BIOS oder im Arbeitsspeicher. Bitte um Eure professionelle Hilfe, ich weiß mir keinen Rat mehr.

Viele Grüße

Poste doch einmal einen HJT Report vom neuen System. Was wird denn in den IE Fenstern angezeigt? Die Normale Startseite, oder Werbung?

Es kann auch sowas banales sein, wie eine defekte Tastatur oder bei Funktastatur, eine lehre Batterie....

Hallo,

es handelt sich um ein Notebook, deshalb keine Funktastatur.

In den ständig aufgehenden I.E.-Fenster wurde gestern imer die google-Seite angezeigt. Nach der Neuinstallation (Partitionen gelöscht und NTFS-Format neu dann Windows XP-Home installiert) zeigt der I.E nun den Link http://microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome.
Gestern habe ich versucht die goggle-Einträge im I.E. zu überschreiben und auf diese Seite zu gehen - das war überhaupt nicht mehr möglich. Wie gesagt, da ständig diese Fenster aufgehen kann ich an dem Rechner auch kaum noch was machen außer ersuchen die geöffneten Fenster zu schließen, damit der Arbeitsspeicher nicht völlig abschmiert. Ich habe es aber geschafft, ein neues Hijack-Log zu schreiben. Ich poste es mal und hoffe, dass Ihr eine Idee habt was das für ein Mist ist.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:03:29, on 02.11.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

--
End of file - 1515 bytes

Da fehlt die haelfte des Reports sowie alle Servicepacks. Ich denke/hoffe du gehst ueber einen Router ins Internet!?

Es kann nach wie vor an der Tastatur liegen, sofern dies eine Taste fuer den Aufruf des Standardbrowsers hat.

An Malware glaub ich im Zusammenhang mit diesen Symptomen nicht.

Hallo Raman,

was fehlt denn? Das war der komplette Log nach dem ich Hijack gestartet habe. Die Service Packs wollte ich ja noch aufspielen aber das ist ja vor lauter I.E.-Fenster nicht möglich. Die Tastatur hat zwar eine Tast für den Standardbrowser, die habe ich aber nir benutzt und zeigt keinen Mangel. Übrigens, der I.E.startet immer die Standardseite (jetzt, nach der Neuinstallation ist nur eine andere Seite enhalten). Außerdem habe ich gestern plötzlich ein Fenster angezeig bekommen, ob ich etws installieren will - ich habe natürlich auf nein geklickt. Das anze finde ich aber schon sehr merkwürdig.

Aber sag mal, was fehlt denn an der Log-Datei? Ich habe jetzt nochmal eine eingestellt.
Ist die I.O?

Gruß

Gitta39

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:38:21, on 02.11.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

--
End of file - 2055 bytes

Der Report kann durchaus vollstaendig sein, nur ist das sehr ungewoehnlich. So wie es scheint hast du die Hardwaretreiber noch nicht komplett installiert, ansonsten wuesste ich nicht, warum du diese Meldung "ein Fenster angezeigt bekommen, ob ich etws installieren will" erhaelst.

Aus dem Report geht keine Infektion hervor und ich gehe immer noch nicht von einer Infektion aus. Benenne kurzfristig die IExplorer.exe um, bzw installiere dir einen alternativbrowser wie Firefox und setze ihn als Standardbrowser fest. Nur um zu sehen, was dann geoeffnet wird.

Leider kenne ich so keinen Weg die "Zusatztasten" des Notebooks zu deaktivieren um einen defekt dieser Tasten auszuschliessen...

Hallo Raman,

also, ich weiß nicht, ob das wichtig ist. Die IExplorer.exe habe ich nicht - nur die IExplore.exe (also ohne r zum Schluss). Ich habe die umbenannt und ca. 5Sekunden später habe ich eine neue IExplore.exe neben der, die ich umbenannt habe.

Gruß und schon mal lieben Dank für Deine Unterstützung.

Ach ja, die Hardware und Treibe habe ich alles noch nicht installiert weil es nicht geht. Ich versuche jetzt mal den Firefox zu installieren. Aber wie gesagt, die IExplorer.exe kriege ich nicht weg.

Gita39

Mein Fehler, iexplore.exe ist der orginal Name...

Hallo Ralf,

also, habe jetzt den Firefox installiert - Internetfenster werden weiterhin ununterbrochen geöffnet. Ist es denn normal, dass sich enfach eine neue IExplore.exe generiert obwohl ich die alte Datei umbenannt habe (die dann auch noch da ist)?
Hast Du sonst noch eine Idee außer, das ich gleich den Laptop aus dem Fenster schmeiße ;-)

Gruß
Gitta39

Nein, aus der Ferne faellt mir nichts ein. Aber bevor du den Rechner ganz weg wirfst, nehm ich ihn! ;)
Wenn du einen Fachhaendler in der Naehe hast, wuerd ich es da, bzw beim Herrsteller des Notebooks versuchen.

Hallo Ralf,

ich habe mal im Handbuch nachgeschlagen - die Browser-Taste an der Tastatur funktioniert nur, wenn ich ein bestimmtes Zusatzprogramm (Quick-Key-Programm) installiere. Das ist aber nicht auf meinem Rechner, daher gehe ich davon aus, dass es nich an dieser Taste liegen kann, das ständig Browser-Fenster geöffnet werden.

Aber vielleicht kannst Du mir ja noch die Frage beantworten, ob sich die IExplore.exe einfach so multiplizieren darf??? Weist das vielleicht auf einen Schädling im System hin? Gibt es ein Tool, mit dem ich nochmal suchen soll?

Wenn alles nichts hilft kannst Du gerne den Laptop haben ;-)

Lieben Gruß
Gitta39