Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   IE baut dauernd ne Seite auf !! (https://www.trojaner-board.de/32748-ie-baut-dauernd-ne-seite.html)

mhc1 08.10.2006 19:14
IE baut dauernd ne Seite auf !!
 
Hallo
ich bekomme bei jedem Rechnerstart eine Meldung meiner Firewall (Kerio 2.14):

'IEXPLORE.EXE' from your computer wants to connect to www.thegoldclick.com [68.178.232.178], port 80

Jedesmal eine andere Adresse.
Ich erstelle dann eine Regel und verbiete dieses, möchte den Quälgeist aber weghaben.
Habe Ewido, PCtools usw. durchlaufen lassen: nix.
Alle Programme wie:
HDDLIFE, Norton, KDRIVER; Bluetooth, Nokia PCSuite, XAMP- Apache, usw. laufen seit langer Zeit ohne Probleme.
Antivirus: AVG Free

Ich habe permanent in einem Verzeichnis ein Programm das sich "IEXPLORER" nennt. In diesem Log

C:\WINDOWS\msdownld.tmp\IEXPLORE.EXE

das Verzeichnis kann ich im abgesicherten Modus entfernen- ist aber nach dem Neustart wieder da.

Im Windows\System32 sind 2 leere Verzeichnisse: 1030 und 1031.
Auch die kann ich im abgesicherten Mode löschen - erscheinen jedoch sofort wieder.


Mein HijackThis Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:55:40, on 08.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programme\xampp\apache\bin\apache.exe
D:\SYSTEM~2\AVG-AN~1\avgamsvr.exe
D:\SYSTEM~2\AVG-AN~1\avgupsvc.exe
D:\SYSTEM~2\AVG-AN~1\avgemc.exe
D:\system-programme\blue_buffalo\bin\btwdins.exe
C:\Programme\xampp\apache\bin\apache.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\buro\nokia-pc-suite-65\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
D:\SYSTEM~2\AVG-AN~1\avgcc.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\system-programme\logitech\iTouch\iTouch.exe
D:\system-programme\KDrive32\KDrive32.exe
C:\WINDOWS\msdownld.tmp\IEXPLORE.EXE
D:\system-programme\ewido\ewido anti-spyware 4.0\ewido.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
D:\system-programme\ewido\ewido anti-spyware 4.0\guard.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
D:\system-programme\powertoys_xp\Fast.exe
D:\system-programme\blue_buffalo\BTTray.exe
d:\system-programme\nu2002\NPROTECT.EXE
D:\system-programme\hddlife\HDDlife.exe
D:\system-programme\kerio214\persfw.exe
D:\grafik\compupic623\ScsiAccess.exe
d:\system-programme\Speed Disk\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
D:\buro\office2000\Office\OUTLOOK.EXE
D:\system-programme\Spyware Doctor\sdhelp.exe
D:\buro\office2000\Office\OUTLOOK.EXE
D:\buro\office2000\Office\OUTLOOK.EXE
D:\internet\firefox\firefox.exe
N:\Inst-Progs\programme\internet\antispy\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gmx.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von GMX
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - D:\SYSTEM~2\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\system-programme\Java-RE\bin\ssv.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - D:\SYSTEM~2\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\buro\nokia-pc-suite-65\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [AVG7_CC] D:\SYSTEM~2\AVG-AN~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] D:\system-programme\logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [KDrive32] "D:\system-programme\KDrive32\KDrive32.exe"
O4 - HKLM\..\Run: [Msn Messenger] c:\windows\msnmsngr.exe
O4 - HKLM\..\Run: [!ewido] "D:\system-programme\ewido\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [QuickTime Task] "D:\media\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Phase One Media Reader] D:\grafik\CAPTUR~1\DCIMImp.exe /noscan /CheckAutoStart
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "D:\system-programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: HDDlife.lnk = D:\system-programme\hddlife\HDDlife.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - D:\internet\avantbrowser\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - D:\internet\avantbrowser\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - D:\internet\avantbrowser\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Senden an &Bluetooth - D:\system-programme\blue_buffalo\btsendto_ie_ctx.htm
O8 - Extra context menu item: Suchen - D:\internet\avantbrowser\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - D:\internet\avantbrowser\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - D:\internet\avantbrowser\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\system-programme\Java-RE\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\system-programme\Java-RE\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\SYSTEM~2\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\system-programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\system-programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\system-programme\blue_buffalo\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\system-programme\blue_buffalo\btsendto_ie.htm
O12 - Plugin for .fpx: C:\Programme\Internet Explorer\PLUGINS\NPRVRT34.dll
O12 - Plugin for .html: D:\internet\Netscape8\PLUGINS\npTrident.dll
O12 - Plugin for .ivr: C:\Programme\Internet Explorer\PLUGINS\NPRVRT34.dll
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.gmx.de
O16 - DPF: {87BF5318-D5F0-41F4-9D14-47967FA8C12B} - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{574245CE-6C79-49FC-A26F-B152BFBD299F}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{EFDFEB75-79E6-4594-B1F8-ECE271B27953}: NameServer = 192.168.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll
O20 - Winlogon Notify: winbts32 - winbts32.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2 - Unknown owner - C:\Programme\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\SYSTEM~2\AVG-AN~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\SYSTEM~2\AVG-AN~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - D:\SYSTEM~2\AVG-AN~1\avgemc.exe
O23 - Service: AVG6 Service (AvgServ) - Unknown owner - D:\SYSTEM~2\AVG-AN~1\avgserv.exe (file missing)
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - D:\system-programme\pcaw105\awhost32.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - D:\system-programme\blue_buffalo\bin\btwdins.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\DiskeeperWorkstation\DKService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - D:\system-programme\ewido\ewido anti-spyware 4.0\guard.exe
O23 - Service: ewido security suite control - Unknown owner - D:\system-programme\ewido\security suite\ewidoctrl.exe (file missing)
O23 - Service: ewido security suite guard - Unknown owner - D:\system-programme\ewido\security suite\ewidoguard.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - C:\WINDOWS\System32\ImapiRox.exe (file missing)
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - d:\system-programme\nu2002\NPROTECT.EXE
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - D:\system-programme\kerio214\persfw.exe
O23 - Service: ScsiAccess - Unknown owner - D:\grafik\compupic623\ScsiAccess.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - D:\system-programme\Spyware Doctor\sdhelp.exe
O23 - Service: Speed Disk service - Symantec Corporation - d:\system-programme\Speed Disk\nopdb.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - C:\Programme\xampp\service.exe


Weis jemand Rat ?

Danke
Mike

felix1 08.10.2006 19:40
Lasse diese Datei mal online prüfen:
c:\windows\system32\directx.exe

Benutze dazu die Hinweise in meiner signatur. Poste die Ergebnisse.

mhc1 09.10.2006 08:34
@felix1:
danke für deine schnelle Hilfe.
Hier das Ergebnis:
Virus-Total:

AntivirusVersionUpdateResult
AntiVir7.2.0.2510.09.2006HEUR/Crypted
Authentium 4.93.810.06.2006no virus found
Avast4.7.892.010.08.2006Win32:
Agent-BOBAVG38610.07.2006no virus found
BitDefender7.210.08.2006no virus found
CAT-QuickHeal8.0010.07.2006(Suspicious) - DNAScanClam
AVdevel-2006042610.09.2006no virus founde
Trust-InoculateIT23.73.1610.07.2006no virus founde
Trust-Vet30.3.311810.06.2006no virus found
DrWeb 4.3310.08.2006no virus found
Ewido4.010.08.2006no virus found
Fortinet2.82.0.010.09.2006suspicious
F-Prot3.16f10.06.2006no virus found
F-Prot44.2.1.2910.06.2006no virus found
Ikarus0.2.65.010.09.2006Net-Worm.Win32.Mytob.DE
Kaspersky4.0.2.2410.09.2006no virus found
McAfee486810.06.2006no virus found
Microsoft1.160310.09.2006no virus found
NOD32v21.179410.06.2006a variant of Win32/PSW.Gamania.CH
Norman5.80.0210.06.2006no virus found
Panda9.0.0.410.08.2006Suspicious file
Sophos4.10.010.05.2006Mal/Packer
TheHacker6.0.1.09410.08.2006no virus found
UNA1.8310.06.2006no virus found
VBA323.11.110.08.2006no virus found
VirusBuster4.3.7:910.08.2006no virus found

Jotti:
 Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: PESPIN
AntiVir Heuristic/Crypted gefunden (mögliche Variante)
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 a variant of Win32/PSW.Gamania.CH gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

Hm ich werde mal bei mir nach Direkt X- Suchen , die Datei im abgesicherten Mode löschen und DirektX neu installieren müssen.
Mal sehen ob das was nützt.

Ciao erstmal
Mike

mhc1 09.10.2006 09:25
@felix1:
So - ich habe mir ein neues Directx geladen, die directx.exe gelöscht
und neu installiert:

sieht sauber aus !!

Vielen Dank,
ich dachte die Datei wird benötigt ??? - anscheinend nicht, denn es gibt jetzt keine mehr, auch gut.

Ciao
Mike


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:02 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27