Internet Explorer öffnet sich von selbst
 

Hallo,

ich habe seit gestern das Problem, dass sich in regelmäßigen Abständen Fenster vom IE selbstständig öffnen und dort irgendwelche Werbung angezeigt wird.

Nun habe ich mal Antivir drüber laufen lassen und der zeigt mir HTML/Infected.WebPage.Gen - Malware an, aber wenn ich diese Sachen reparieren lasse, hilft das trotzdem nicht.

Ich hoffe ihr könnt mir da weiter helfen. Ich habe mal einen hijackthis-Log angehängt.

Gruß


HiJackthis Logfile:
--- --- ---

Hallo und :hallo:

bitte nen Vollscan mit malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Danke für die schnelle Antwort, hier sind die Logs:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4186

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

10.06.2010 16:13:28
mbam-log-2010-06-10 (16-13-28).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 204250
Laufzeit: 1 Stunde(n), 10 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 25

Infizierte Speicherprozesse:
C:\WINDOWS\Brotob.exe (Trojan.FraudPack.Gen) -> Unloaded process successfully.
C:\Dokumente und Einstellungen\Legendkiller\Lokale Einstellungen\Temp\Bzz.exe (Trojan.FraudPack.Gen) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\V71IQL7HI7 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\M5T8QL3YW3 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\m5t8ql3yw3 (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\Brotob.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Legendkiller\Lokale Einstellungen\Temp\Bzz.exe (Trojan.FraudPack.Gen) -> Delete on reboot.
C:\Dokumente und Einstellungen\Legendkiller\Lokale Einstellungen\Temp\pcwcorwo.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Legendkiller\Lokale Einstellungen\Temp\Bz0.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Legendkiller\Lokale Einstellungen\Temp\Bz1.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Legendkiller\Lokale Einstellungen\Temp\Bz2.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Legendkiller\Lokale Einstellungen\Temp\cxgxdna.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Legendkiller\Lokale Einstellungen\Temp\arapj.exe (Rogue.AVSecuritySuite) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Legendkiller\Lokale Einstellungen\Temp\0.8140781342454972.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Legendkiller\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8LYFMB6P\setup[1].exe (Trojan.Fraudpack) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Legendkiller\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ET21ON4J\setup[2].exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Programme\Windows Media Player\run.exe (Trojan.CryptRun) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{156C3412-898A-4411-A506-7646DAE46D86}\RP183\A0052395.exe (Rogue.AVSecuritySuite) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{156C3412-898A-4411-A506-7646DAE46D86}\RP183\A0052399.dll (Adware.LuckyEstimation) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{156C3412-898A-4411-A506-7646DAE46D86}\RP184\A0054549.exe (Trojan.CryptRun) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{156C3412-898A-4411-A506-7646DAE46D86}\RP184\A0054560.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{156C3412-898A-4411-A506-7646DAE46D86}\RP184\A0054719.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
C:\WINDOWS\Brotoa.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
C:\cleansweep.exe\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\cleansweep.exe\config.bin (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Legendkiller\Anwendungsdaten\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Programme\Windows Media Player\wmupdater.exe (Trojan.Vilsel) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Legendkiller\Lokale Einstellungen\Temp\services.exe (Password.Stealer) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

So hier die restlichen 2 logs.

Hoffe ihr könnt mri helfen

Gruß

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Ok hab ich auch gemacht, hier der Log

All processes killed
========== OTL ==========
No active process named Bzz.exe was found!
Service nvsvc stopped successfully!
Service nvsvc deleted successfully!
File File not found not found.
Service RasManRpcSs stopped successfully!
Service RasManRpcSs deleted successfully!
File move failed. C:\WINDOWS\system32\AgCPanelSwedishz.exe scheduled to be moved on reboot.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\nwiz deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\{72765078-BA3F-82F6-7C6F-4B9294BA3AD1} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{72765078-BA3F-82F6-7C6F-4B9294BA3AD1}\ not found.
C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Oqel\ywir.exe moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\{7AA60444-EC29-428A-B52C-E1B1A70F2132} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7AA60444-EC29-428A-B52C-E1B1A70F2132}\ not found.
C:\Dokumente und Einstellungen\Legendkiller\Anwendungsdaten\Sixueg\acxe.exe moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Gsidagedeyox deleted successfully.
C:\WINDOWS\esfcolSE.dll moved successfully.
File move failed. C:\Dokumente und Einstellungen\Legendkiller\Startmenü\Programme\Autostart\sisytj32.exe scheduled to be moved on reboot.
File C:\WINDOWS\System32\drivers\unvavtn.sys not found.
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\dhxiuw.dat moved successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:24721E3C deleted successfully.
========== FILES ==========
File\Folder C:\Dokumente und Einstellungen\Legendkiller\Lokale Einstellungen\Temp\Bzz.exe not found.
File move failed. C:\WINDOWS\System32\AgCPanelSwedishz.exe scheduled to be moved on reboot.
C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Oqel folder moved successfully.
C:\Dokumente und Einstellungen\Legendkiller\Anwendungsdaten\Sixueg folder moved successfully.
File\Folder C:\WINDOWS\esfcolSE.DLL not found.
File move failed. C:\Dokumente und Einstellungen\Legendkiller\Startmenü\Programme\Autostart\sisytj32.exe scheduled to be moved on reboot.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Legendkiller
->Temp folder emptied: 49543645 bytes
->Temporary Internet Files folder emptied: 138171750 bytes
->Java cache emptied: 35010718 bytes
->FireFox cache emptied: 77058776 bytes
->Flash cache emptied: 3167 bytes

User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 5170259 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 933214 bytes
->Flash cache emptied: 1147 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1119649 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1204117 bytes
RecycleBin emptied: 2158320 bytes

Total Files Cleaned = 296,00 mb


OTL by OldTimer - Version 3.2.6.0 log created on 06102010_171023

Files\Folders moved on Reboot...
C:\WINDOWS\system32\AgCPanelSwedishz.exe moved successfully.
C:\Dokumente und Einstellungen\Legendkiller\Startmenü\Programme\Autostart\sisytj32.exe moved successfully.

Registry entries deleted on Reboot...

hmmm nu hängt der PC aber ganz schön

Was heißt das genau? Bitte so formulieren, dass man nicht herumraten muss was Du meinst!

Das "hängen" war nach einem Neustart weg, ist also kein Problem mehr. Allerding kommen immernoch ab und an IE Fenster mit Werbung.

Dann mach jetzt nen Lauf mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

So habe alles gemacht wie angegeben, hier der Log:

Combofix Logfile:
--- --- ---

Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und hier verlinken

Guten Morgen, wieder alles gemacht wie beschrieben.

Hier der Link: hxxp://www.file-upload.net/download-2590515/backup.zip.html

Und hier der Log:

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry value "HKLM\system\currentcontrolset\control\session manager\appcertdlls|ntsdedit" deleted successfully.
File "c:\windows\system32\contll32.dll" deleted successfully.
File "c:\windows\system32\contdsvr.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Ok, hab die Dateien, danke.

Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Hier die Logs.

GMER:

GMER Logfile:
--- --- ---


OSAM:

OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru