Trojaner-Board - IE ... ungewollter automatischer Seitenaufruf

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - IE ... ungewollter automatischer Seitenaufruf (https://www.trojaner-board.de/26338-ie-ungewollter-automatischer-seitenaufruf.html)

IE ... ungewollter automatischer Seitenaufruf

Hallo,

ich habe da ein "kleines" Problem:

Wenn ich im Internet bin, startet in unregelmässigen Zeitabständen
(manchmal, aber nicht immer, schon als zweites Explorerfenster nach der
Default Startseite) ein zusätzliches Explorerfenster. In diesem werden
Seiten aufgebaut zu denen ich nicht wirklich einen Bezug habe, z.bsp.
www.ix.se oder www.adultdatingfriends.com (jaja, lacht nur!). Meisstens
werden diese Seiten komplett aufgebaut und ich kann sie durch
schliessen einfach wegdrücken und weiter gehts. Manchmal jedoch (und
leider nicht unbedingt selten) hängt sich dabei mein Internet-Explorer
komplett auf (mehr als nur ärgerlich!).

Noch ein paar Anmerkungen:

System:
WinXP Prof. SP2 incl den neuesten Sicherheitsupdates, Arcor DSL
(OnlineDialer 5.), IE 6 incl aller Updates, PandaAntivirus incl
Firewall (neueste Updates)

Was habe ich schon versucht und getan:
1. Was natürlich selbstverständlich ist -- Virenscanner usw
drüberlaufen lassen -- kein Effekt
2. Firewall -- Da darf bei mir sowieso so gut wie kein anderes Programm
raus, kommt auch beim ungewollten Seitenaufbau zu keiner Meldung der
Firewall.
3. Popupblocker -- Diese dämlichen (sorry) Seiten werden
offensichtlich nicht von einer anderen Seite aufgerufenn, also auch
kein Popup.
4. Arcor Zugangssoftware neu installiert
5. IE - Einstellungen überprüft -- nichts zu erkennen. Habe die
Adressen übrigens in die sichere Zone verschoben. Da bauen sich zwar
die Fensterinhalte nicht mehr auf, aber der Grundeffekt bleibt der
gleiche.
6. Registry Einträge kontrolliert (z.Bsp. Windows\Run und auch alle IE
Einträge) -- nichts verdächtiges oder unbekanntes gefunden.

ICH BIN RATLOS! :-((

Hat jemand ne Idee was hier auf meinem System los ist???? Mein Dank
wird euch ewig nacheilen!

Ich fühle mich zwar relativ sicher da ich der Meinung bin mit den
neuesten Sicherheitsupdates, Virenscanner und auch einer ganz passabel
eingerichteten Firewall zu arbeiten, allerdings macht der
Internetzugang keinen Spass mehr, wenn ungwollt Fenster aufgehen und
mir dann der Internet-Explorer ständig abschmiert. :-(

hallo,

bitte poste ein HJT logfile nach anleitung in meiner signatur..

Zitat:

Zitat von hoerni26

hallo,

bitte poste ein HJT logfile nach anleitung in meiner signatur..

und hier ist jetzt das komplette HJT Log:

Logfile of HijackThis v1.99.1
Scan saved at 19:19:30, on 30.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Sony\Jog Dial Navigator\JogServ2.exe
C:\WINDOWS\Logi_MwX.Exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\PowerPanel\Program\PcfMgr.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Internet\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [JOGSERV2.EXE] C:\Programme\Sony\Jog Dial Navigator\JogServ2.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: PowerPanel.lnk = ?
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: DigiChat Applet - http://213.133.121.178/DigiChat/DigiClasses/Client_IE_5_1_0_1.cab
O16 - DPF: Yahoo! Backgammon - http://download.games.yahoo.com/games/clients/y/at1_x.cab
O16 - DPF: Yahoo! Canasta - http://download.games.yahoo.com/games/clients/y/yt1_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/games/clients/y/pyt1_x.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134593149267
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1138304367413
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37570.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D90BE3C-FC64-4EDD-A258-5F591C357A5C}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{9AF27300-BA54-40AB-8AF1-DF3C5FADF5D9}: NameServer = 195.71.159.14 193.189.244.205
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Programme\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe

das müsste dein problem sein:

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll

lass sie mal online bei jotti überprüfen..
link zu jotti in meiner signatur..

Zitat:

Zitat von hoerni26

UND DAS KAM DABEI RAUS! :

Auslastung: 0% 100%

Datei: vbsys2.dll
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -

AntiVir Trojan/Dldr.Agen.nv.4.A gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Adware.Fucon gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Clicker.Win32.Agent.ac gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Malware.Agent.20 gefunden (mögliche Variante)

UND NUN?? (sorry für die blöde frage) :balla:

und nun würde ich dir raten dein system nach anleitung in meiner signatur neu aufzusetzen..
da dieser trojaner eine backdoor funktion besitzt..
das heisst er ermöglicht dritten zugriff auf dein system..
daher einzige sichere lösung ein neuaufsetzen..

Zitat:

Zitat von hoerni26

ok, nur nochmal um sicherzugehen -- wirklich no chance um ein neu aufsetzen drumherumzukommen??? ich würde net frage wenn ich net den aufwand kennen würde :headbang:

Hallo,

Du kannst den eigentlichen Backdoor schon löschen, funktioniert in den meisten Fällen auch, allerdings hat der dann schon irgendwas anderes auf Deinem System installiert und das findet dann kein Scanner mehr!

Gruß

Schrulli

Zitat:

Zitat von Schrulli

ok ... dann suche ich mir mal einen passenden (möglichst naheliegenden termin) für's neu aufsetzen aus .... wie kille ich aber jetzt zwischenzeitlich am sichersten die eigentliche backdoor?

gruss

mario

kurz einmisch:

Sorry aber bei diesem Trojaner vbsys2.dll besteht IMHO kein zwingender Grund neuzuinstallieren.

dartus

ich habe eben mit kaspersky die entsprechenden einträge gefunden und gelöscht .... momentan scheint alles zu funktionieren ..... sollte dem jetzt wirklich so sein -- DANKE allen die sich meines problems angenommen haben :party: ach ja -- vor allem dankt euch meine frau, jetzt darf sie erstmal wieder ihr "unwesen" im internet treiben :-)

Hallo MarioL,

Du solltest Dir HIER noch einige Tipps "abholen", insbesondere die "12 Punkte".
EDIT: Dort steht u.a. etwas von Einrichtung von Benutzerkonten!

dartus