Trojaner-Board - Werbeseiten öffnen dauerhaft ungewollt

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Werbeseiten öffnen dauerhaft ungewollt (https://www.trojaner-board.de/65397-werbeseiten-oeffnen-dauerhaft-ungewollt.html)

Werbeseiten öffnen dauerhaft ungewollt

Hallo,
ich habe schon seit einiger Zeit das Problem das sich bei jeder Internet Explorersite die ich öffne eine neue Werbseseite in einem neuen Fenster mitöffnet. Ich habe bereits 2 Virenscanner übers System laufen lassen (avast, antivir). Die haben auch gleich Viren gefunden die ich entfernt habe. trotzdem besteht das problem weiterhin.
Wäre nett wenn mir jemand helfen könnte :)

Hier mein System:
Mirosoft Windows XP
Home Edition
Version 2002
SP 2

Internet Explorer 8
Virenscanner: Avast, Antivir
Firewall aktiv
Windows defender aktiv

Hier mein HJT Logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:20:35, on 28.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.17184)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Alwil Software\Avast4\ashDisp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\SoftwareDistribution\Download\f14fd8e5430c9159611462b685a23f24\update\update.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.1.1
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O2 - BHO: {04b5fa34-ff38-8b19-5904-413bb7661d30} - {03d1667b-b314-4095-91b8-83ff43af5b40} - C:\WINDOWS\system32\wtghql.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [avast!] "C:\Programme\Alwil Software\Avast4\ashDisp.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1227895651771
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: wtghql.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 6665 bytes

Dnake schon im Vorraus

Hallo und :hallo:

Zitat:

Internet Explorer 8
Virenscanner: Avast, Antivir

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.17184)

Du möchtest bitte nur einen Virenscanner mit Hintergrundwächter verwenden, da sich mehrere Wächter gegenseitig in die Quere kommen können und das System extrem verlangsamen können.

Warum eigentlich schon IE8? :confused: Der ist noch im Betastadium! Derfür fehlt allerdings das SP3 für XP. Updaten an falscher Stelle könnte man das nennen :lach:

Acker diese Punkte für weitere Analysen ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

C:\WINDOWS\system32\wtghql.dll

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten. Vor dem Ausführen von Malwarebytes den Wächter Deines Virenscanners abschalten!!

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

7.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

8.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

Zitat:

Derfür fehlt allerdings das SP3 für XP. Updaten an falscher Stelle könnte man das nennen

stimmt das liegt daran das ich bis vor 2 tagen keine windowas-updates durchführen konnte warum auch immer aber das problem ist jetzt beseitigt installiere gerade 44 neue updates :D

Zitat:

Du möchtest bitte nur einen Virenscanner mit Hintergrundwächter verwenden, da sich mehrere Wächter gegenseitig in die Quere kommen können und das System extrem verlangsamen können

ja ich hatte vorher antivir und habe dann avast heute nu drüberlaufen lassen und der hat mir über 20 viren angezeigt die antivir nie gefunden hat :confused: die sind jetzt beseitigt

ok ich werde mich mal an die einzelnen punkte begeben danke

Ok habe mich mal rangesetzt und alles gemacht.

Also zuerstmal habe ich mitlerweile Sp3 für mein XP. Ausserdem habe ich AntiVir gekickt und nutze jetzt nurnoch Avast. Und ich bin wieder auf den MSIE 7 umgestiegen.

Und hier die Files:

1.) Das mit Virustotal hat nicht geklappt weil die Datei bei mir angeblich nicht existiert.

2.) Alte Systemwiederherstellungspunkte sind alle gelöscht

3.) Das MBR-Tool habe ich ausgeführt das einzigste was dabei rauskam war das (ich weiß nicht ob das richtg ist so):

Code:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

4.) Blacklight:

Code:

11/29/08 19:23:16 [Info]: BlackLight Engine 2.2.1092 initialized

11/29/08 19:23:16 [Info]: OS: 5.1 build 2600 (Service Pack 2)

11/29/08 19:23:17 [Note]: 7019 4

11/29/08 19:23:17 [Note]: 7005 0

11/29/08 19:24:27 [Note]: 7006 0

11/29/08 19:24:27 [Note]: 7011 524

11/29/08 19:24:28 [Note]: 7035 0

11/29/08 19:24:28 [Note]: 7026 0

11/29/08 19:24:28 [Note]: 7026 0

11/29/08 19:24:36 [Note]: FSRAW library version 1.7.1024

11/29/08 19:24:36 [Note]: 2000 1006

11/29/08 19:24:36 [Note]: 2000 1006

11/29/08 19:24:37 [Note]: 2000 1006

11/29/08 19:24:37 [Note]: 2000 1006

11/29/08 19:24:37 [Note]: 2000 1006

11/29/08 19:24:37 [Note]: 2000 1006

11/29/08 19:24:37 [Note]: 2000 1006

11/29/08 19:24:37 [Note]: 2000 1006

11/29/08 19:24:37 [Note]: 2000 1006

11/29/08 19:24:37 [Note]: 2000 1006

11/29/08 19:24:37 [Note]: 2000 1006

11/29/08 19:24:37 [Note]: 2000 1006

11/29/08 19:24:37 [Note]: 2000 1006

11/29/08 19:24:37 [Note]: 2000 1006

11/29/08 19:24:37 [Note]: 2000 1006

11/29/08 19:24:37 [Note]: 2000 1006

11/29/08 19:24:37 [Note]: 2000 1006

11/29/08 19:24:38 [Note]: 2000 1006

11/29/08 19:24:38 [Note]: 2000 1006

11/29/08 19:24:38 [Note]: 2000 1006

11/29/08 19:24:38 [Note]: 2000 1006

11/29/08 19:24:38 [Note]: 2000 1006

11/29/08 19:24:38 [Note]: 2000 1006

11/29/08 19:24:38 [Note]: 2000 1006

11/29/08 19:24:38 [Note]: 2000 1006

11/29/08 19:24:38 [Note]: 2000 1006

11/29/08 19:24:38 [Note]: 2000 1006

11/29/08 19:24:38 [Note]: 2000 1006

11/29/08 19:24:38 [Note]: 2000 1006

11/29/08 19:24:38 [Note]: 2000 1006

11/29/08 19:24:38 [Note]: 2000 1006

11/29/08 19:24:38 [Note]: 2000 1006

11/29/08 19:24:38 [Note]: 2000 1006

11/29/08 19:24:38 [Note]: 2000 1006

11/29/08 19:24:39 [Note]: 2000 1006

11/29/08 19:24:39 [Note]: 2000 1006

11/29/08 19:24:39 [Note]: 2000 1006

11/29/08 19:24:39 [Note]: 2000 1006

11/29/08 19:24:39 [Note]: 2000 1006

11/29/08 19:24:39 [Note]: 2000 1006

11/29/08 19:24:39 [Note]: 2000 1006

11/29/08 19:24:39 [Note]: 2000 1006

11/29/08 19:24:39 [Note]: 2000 1006

11/29/08 19:24:39 [Note]: 2000 1006

11/29/08 19:24:39 [Note]: 2000 1006

11/29/08 19:24:39 [Note]: 2000 1006

11/29/08 19:24:39 [Note]: 2000 1006

11/29/08 19:24:39 [Note]: 2000 1006

11/29/08 19:24:39 [Note]: 2000 1006

11/29/08 19:24:39 [Note]: 2000 1006

11/29/08 19:24:39 [Note]: 2000 1006

11/29/08 19:24:39 [Note]: 2000 1006

11/29/08 19:24:39 [Note]: 2000 1006

11/29/08 19:24:39 [Note]: 2000 1006

11/29/08 19:24:39 [Note]: 2000 1006

11/29/08 19:24:40 [Note]: 2000 1006

11/29/08 19:24:40 [Note]: 2000 1006

11/29/08 19:24:40 [Note]: 2000 1006

11/29/08 19:24:40 [Note]: 2000 1006

11/29/08 19:24:40 [Note]: 2000 1006

11/29/08 19:24:40 [Note]: 2000 1006

11/29/08 19:24:40 [Note]: 2000 1006

11/29/08 19:24:40 [Note]: 2000 1006

11/29/08 19:24:40 [Note]: 2000 1006

11/29/08 19:24:40 [Note]: 2000 1006

11/29/08 19:24:40 [Note]: 2000 1006

11/29/08 19:24:40 [Note]: 2000 1006

11/29/08 19:24:40 [Note]: 2000 1006

11/29/08 19:24:40 [Note]: 2000 1006

11/29/08 19:24:40 [Note]: 2000 1006

11/29/08 19:24:40 [Note]: 2000 1006

11/29/08 19:24:41 [Note]: 2000 1006

11/29/08 19:24:41 [Note]: 2000 1006

11/29/08 19:24:41 [Note]: 2000 1006

11/29/08 19:24:41 [Note]: 2000 1006

11/29/08 19:24:41 [Note]: 2000 1006

11/29/08 19:24:41 [Note]: 2000 1006

11/29/08 19:24:41 [Note]: 2000 1006

11/29/08 19:24:41 [Note]: 2000 1006

11/29/08 19:24:41 [Note]: 2000 1006

11/29/08 19:24:41 [Note]: 2000 1006

11/29/08 19:24:41 [Note]: 2000 1006

11/29/08 19:24:41 [Note]: 2000 1006

11/29/08 19:24:41 [Note]: 2000 1006

11/29/08 19:24:41 [Note]: 2000 1006

11/29/08 19:24:41 [Note]: 2000 1006

11/29/08 19:24:42 [Note]: 2000 1006

11/29/08 19:24:42 [Note]: 2000 1006

11/29/08 19:24:42 [Note]: 2000 1006

11/29/08 19:24:42 [Note]: 2000 1006

11/29/08 19:24:42 [Note]: 2000 1006

11/29/08 19:24:42 [Note]: 2000 1006

11/29/08 19:24:42 [Note]: 2000 1006

11/29/08 19:24:42 [Note]: 2000 1006

11/29/08 19:24:42 [Note]: 2000 1006

11/29/08 19:24:42 [Note]: 2000 1006

11/29/08 19:24:42 [Note]: 2000 1006

11/29/08 19:24:42 [Note]: 2000 1006

11/29/08 19:24:42 [Note]: 2000 1006

11/29/08 19:24:42 [Note]: 2000 1006

11/29/08 19:24:42 [Note]: 2000 1006

11/29/08 19:24:42 [Note]: 2000 1006

11/29/08 19:24:42 [Note]: 2000 1006

11/29/08 19:24:42 [Note]: 2000 1006

11/29/08 19:24:42 [Note]: 2000 1006

11/29/08 19:24:42 [Note]: 2000 1006

11/29/08 19:24:43 [Note]: 2000 1006

11/29/08 19:24:43 [Note]: 2000 1006

11/29/08 19:24:43 [Note]: 2000 1006

11/29/08 19:24:43 [Note]: 2000 1006

11/29/08 19:24:43 [Note]: 2000 1006

11/29/08 19:24:43 [Note]: 2000 1006

11/29/08 19:24:43 [Note]: 2000 1006

11/29/08 19:24:43 [Note]: 2000 1006

11/29/08 19:24:43 [Note]: 2000 1006

11/29/08 19:24:43 [Note]: 2000 1006

11/29/08 19:24:43 [Note]: 2000 1006

11/29/08 19:24:43 [Note]: 2000 1006

11/29/08 19:24:43 [Note]: 2000 1006

11/29/08 19:24:43 [Note]: 2000 1006

11/29/08 19:24:43 [Note]: 2000 1006

11/29/08 19:24:43 [Note]: 2000 1006

11/29/08 19:24:43 [Note]: 2000 1006

11/29/08 19:24:44 [Note]: 2000 1006

11/29/08 19:24:44 [Note]: 2000 1006

11/29/08 19:24:44 [Note]: 2000 1006

11/29/08 19:24:44 [Note]: 2000 1006

11/29/08 19:24:44 [Note]: 2000 1006

11/29/08 19:24:44 [Note]: 2000 1006

11/29/08 19:24:44 [Note]: 2000 1006

11/29/08 19:24:44 [Note]: 2000 1006

11/29/08 19:24:44 [Note]: 2000 1006

11/29/08 19:24:44 [Note]: 2000 1006

11/29/08 19:24:44 [Note]: 2000 1006

11/29/08 19:24:44 [Note]: 2000 1006

11/29/08 19:24:44 [Note]: 2000 1006

11/29/08 19:24:44 [Note]: 2000 1006

11/29/08 19:24:44 [Note]: 2000 1006

11/29/08 19:24:44 [Note]: 2000 1006

11/29/08 19:24:44 [Note]: 2000 1006

11/29/08 19:24:44 [Note]: 2000 1006

11/29/08 19:24:44 [Note]: 2000 1006

11/29/08 19:24:44 [Note]: 2000 1006

11/29/08 19:24:44 [Note]: 2000 1006

11/29/08 19:24:45 [Note]: 2000 1006

11/29/08 19:24:45 [Note]: 2000 1006

11/29/08 19:24:45 [Note]: 2000 1006

11/29/08 19:24:45 [Note]: 2000 1006

11/29/08 19:24:45 [Note]: 2000 1006

11/29/08 19:24:45 [Note]: 2000 1006

11/29/08 19:24:45 [Note]: 2000 1006

11/29/08 19:24:45 [Note]: 2000 1006

11/29/08 19:24:45 [Note]: 2000 1006

11/29/08 19:24:45 [Note]: 2000 1006

11/29/08 19:24:45 [Note]: 2000 1006

11/29/08 19:24:45 [Note]: 2000 1006

11/29/08 19:24:45 [Note]: 2000 1006

11/29/08 19:24:45 [Note]: 2000 1006

11/29/08 19:24:45 [Note]: 2000 1006

11/29/08 19:24:45 [Note]: 2000 1006

11/29/08 19:24:45 [Note]: 2000 1006

11/29/08 19:24:45 [Note]: 2000 1006

11/29/08 19:24:46 [Note]: 2000 1006

11/29/08 19:24:46 [Note]: 2000 1006

11/29/08 19:24:46 [Note]: 2000 1006

11/29/08 19:24:46 [Note]: 2000 1006

11/29/08 19:24:46 [Note]: 2000 1006

11/29/08 19:24:46 [Note]: 2000 1006

11/29/08 19:24:46 [Note]: 2000 1006

11/29/08 19:24:46 [Note]: 2000 1006

11/29/08 19:24:46 [Note]: 2000 1006

11/29/08 19:24:46 [Note]: 2000 1006

11/29/08 19:24:46 [Note]: 2000 1006

11/29/08 19:24:46 [Note]: 2000 1006

11/29/08 19:24:46 [Note]: 2000 1006

11/29/08 19:24:46 [Note]: 2000 1006

11/29/08 19:24:46 [Note]: 2000 1006

11/29/08 19:24:46 [Note]: 2000 1006

11/29/08 19:24:46 [Note]: 2000 1006

11/29/08 19:24:46 [Note]: 2000 1006

11/29/08 19:24:46 [Note]: 2000 1006

11/29/08 19:24:46 [Note]: 2000 1006

11/29/08 19:24:46 [Note]: 2000 1006

11/29/08 19:24:46 [Note]: 2000 1006

11/29/08 19:24:47 [Note]: 2000 1006

11/29/08 19:24:47 [Note]: 2000 1006

11/29/08 19:24:47 [Note]: 2000 1006

11/29/08 19:24:47 [Note]: 2000 1006

11/29/08 19:24:47 [Note]: 2000 1006

11/29/08 19:24:47 [Note]: 2000 1006

11/29/08 19:24:47 [Note]: 2000 1006

11/29/08 19:24:47 [Note]: 2000 1006

11/29/08 19:24:47 [Note]: 2000 1006

11/29/08 19:24:47 [Note]: 2000 1006

11/29/08 19:24:47 [Note]: 2000 1006

11/29/08 19:24:47 [Note]: 2000 1006

11/29/08 19:24:47 [Note]: 2000 1006

11/29/08 19:24:47 [Note]: 2000 1006

11/29/08 19:24:47 [Note]: 2000 1006

11/29/08 19:24:47 [Note]: 2000 1006

11/29/08 19:24:47 [Note]: 2000 1006

11/29/08 19:24:47 [Note]: 2000 1006

11/29/08 19:24:47 [Note]: 2000 1006

11/29/08 19:24:48 [Note]: 2000 1006

11/29/08 19:24:48 [Note]: 2000 1006

11/29/08 19:24:48 [Note]: 2000 1006

11/29/08 19:24:48 [Note]: 2000 1006

11/29/08 19:24:48 [Note]: 2000 1006

11/29/08 19:24:48 [Note]: 2000 1006

11/29/08 19:24:48 [Note]: 2000 1006

11/29/08 19:24:49 [Note]: 2000 1006

11/29/08 19:24:49 [Note]: 2000 1006

11/29/08 19:24:49 [Note]: 2000 1006

11/29/08 19:24:49 [Note]: 2000 1006

11/29/08 19:24:49 [Note]: 2000 1006

11/29/08 19:24:50 [Note]: 2000 1006

11/29/08 19:24:50 [Note]: 2000 1006

11/29/08 19:24:50 [Note]: 2000 1006

11/29/08 19:24:50 [Note]: 2000 1006

11/29/08 19:24:50 [Note]: 2000 1006

11/29/08 19:24:51 [Note]: 2000 1006

11/29/08 19:24:51 [Note]: 2000 1006

11/29/08 19:24:55 [Note]: 2000 1012

11/29/08 19:24:55 [Note]: 2000 1006

11/29/08 19:24:55 [Note]: 2000 1006

11/29/08 19:24:55 [Note]: 2000 1006

11/29/08 19:25:23 [Note]: 7007 0

Malwarebytes Antimalware hat keine infizierten Dateien gefunden

5.) Silentrunners Log: File-Upload.net - SilentrunnersLog.zip

6.) CombiFix Log: File-Upload.net - ComboFix.zip

7.) Filelisting Log: File-Upload.net - Filelisting.zip

8.) und hier der letzte HiJackThis Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:58:54, on 29.11.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

C:\Programme\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe

C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\System32\TUProgSt.exe

C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

C:\Programme\Alwil Software\Avast4\ashWebSv.exe

C:\Programme\VistaDriveIcon\DrvIcon.exe

C:\Programme\Alwil Software\Avast4\ashDisp.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Internet Explorer\IEXPLORE.EXE

C:\Dokumente und Einstellungen\***\Desktop\qlketzd.com
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://schuelervz.net/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.1.1

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [DrvIcon] C:\Programme\VistaDriveIcon\DrvIcon.exe

O4 - HKLM\..\Run: [avast!] "C:\Programme\Alwil Software\Avast4\ashDisp.exe"

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1227895651771

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll

O20 - AppInit_DLLs: wtghql.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe

O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe

O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
 

--

End of file - 5445 bytes

Ich danke dir nochmal und hoffe das ich das jetzt in den gruff bekomme ;) :D

Okay Super Problem ist behoben :) :dankeschoen::aplaus:

Ich hätte nie gedacht das ich so viel Müll auf meinem Rechner hätte. Endlich läuft er mal wieder schnell und der Internet Explorer funktioniert reibungslos :)

Also nochmals danke.

Gruß Lumitu

Hallo

Wir sind noch nicht ganz fertig.
Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

c:\dokume~1\MARKUS~1\LOKALE~1\Temp\oflpydin.sys

C:\WINDOWS\system\ltrdp13n.dll

Danach:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

Code:

Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=-
 

Collect::

c:\dokume~1\MARKUS~1\LOKALE~1\Temp\oflpydin.sys

C:\WINDOWS\system\ltrdp13n.dll

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xml11.tmp

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xml10.tmp

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xmlF.tmp

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!