Browser schließt, Icons nicht erkennbar

#1 Huhu.

Hab seit gestern (nach nem Update von Java) das Problem, dass sich der Browser bei manchen Seiten schließt (auch der Scan von TrendMicro *grml*) und dass die Icons teilweise gar nicht mehr erkennbar sind (ist kein Icon mehr da), oder durch andere Symbole ersetzt wurden. Krass ist es auch, dass wenn ich in nen Chat möchte und dort meine Kennung eingebe, dass es erst gar nicht zur Weiterleitung kommt, sondern sich der Browser direkt schließt.
Hinzu kommt, dass ich ziemlich lästige Spamicons auf dem Desktop hab und die net mehr löschen kann und mich ne blöde Toolbar extrem nervt, die beim Öffnen einer neuen Seite erscheint.

Wüsste da einer nen Rat?? :O|


Vielen Dank im Vorraus!! :O))


Hier ist mal mein Log:

Logfile of HijackThis v1.99.0
Scan saved at 16:28:18, on 31.12.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\by the way.exe
D:\Programme\Brenner\Ahead\InCD\InCDsrv.exe
D:\Programme\Tools\Norton Utilities\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
D:\Programme\Tools\Speed Disk\nopdb.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
D:\Programme\Tools\CursorXP\CursorXP.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
c:\progra~1\intern~1\iexplore.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
D:\Programme\Internet\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
D:\Programme\Internet\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
D:\PROGRA~1\Internet\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Winamp\winamp.exe
E:\EMULE2\eMule.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\PROGRA~1\PACKER\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Systemoverlord\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.enrmxuoxnekvbwydvpbeunvul.net/A8thDuLiL5b_FNFQvE7I6NfDT1pHEjP_kbV5kTQwmspddg4Q9Z3IW7zXbL_WMQOY.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINNT\Downloaded Program Files\ycomp5_3_18_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Update] C:\WINNT\$NtServicePackUninstall$\csrss.exe /i
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DeskMateAutoUpdate] C:\PROGRA~1\DESKMA~1\DeskMateAutoUpdate.exe
O4 - HKLM\..\RunServices: [Microsoft Installer] install.exe
O4 - HKCU\..\Run: [CursorXP] D:\Programme\Tools\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [AIM] D:\Programme\Internet\AIM\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [fork admin] C:\DOKUME~1\SYSTEM~1\ANWEND~1\KINDNA~1\Barb readme.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: BHODemon 2.0.lnk = C:\Programme\Internet\BHODemon 2\BHODemon.exe
O4 - Global Startup: BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Programme\Internet\AIM\aim.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://www.midasplayer.com/midasa.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/bestfriends/retro64_loader.dll
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF9E6E8A-290C-493B-98F0-F81E074BFF13}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: Bluetooth Service - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\by the way.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InCD Helper - Ahead Software AG - D:\Programme\Brenner\Ahead\InCD\InCDsrv.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - D:\Programme\Tools\Norton Utilities\NPROTECT.EXE
O23 - Service: Speed Disk service - Symantec Corporation - D:\Programme\Tools\Speed Disk\nopdb.exe


Edit:

Hab schon mehere Antispytools verwendet. Dabei hab ich auch einige Einträge aus der Reg. löschen lassen, aber es hat sich nix verändert und die Cookies und die temp. Internetfiles hab ich auch gelöscht.

#2 Das ist u.a. eine Lop.com -Verseuchung

Wichtig: Die Datei "csrss.exe" befindet sich im Ordner C:\Windows\System32.
Wenn das nicht der Fall ist, handelt es sich bei csrss.exe um einen Virus, Spyware, Trojaner oder Worm! --->C:\WINNT\$NtServicePackUninstall$\csrss.exe

1.Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/
2.#Kaspersky-Online-einzelne Dateien ueberpruefen
http://www.kaspersky.com/remoteviruschk.html
C:\WINNT\$NtServicePackUninstall$\csrss.exe (poste das Ergebnis vom Scann)
---------------------------------------------------------------------------------------------
#eScan
ftp://mwti.matrix.lv/download/tools/
erstelle den Ordner c:\bases
mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavupd.exe (Update- in DOS) ausführen

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.enrmxuoxnekvbwydvpbeunvul.net/A8thDuLiL5b_FNFQvE7I6NfDT1pHEjP_kbV5kTQwmspddg4Q9Z3IW7zXbL_WMQOY.htm
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O4 - HKLM\..\Run: [Update] C:\WINNT\$NtServicePackUninstall$\csrss.exe /i --->Troj/Antiav-A oder W32.NIMDA.E@mm”
O4 - HKLM\..\Run: [DeskMateAutoUpdate] C:\PROGRA~1\DESKMA~1\DeskMateAutoUpdate.exe
O4 - HKLM\..\RunServices: [Microsoft Installer] install.exe ?????? (Backdoor)
O4 - HKCU\..\Run: [CursorXP] D:\Programme\Tools\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [fork admin] C:\DOKUME~1\SYSTEM~1\ANWEND~1\KINDNA~1\Barb readme.exe
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://www.midasplayer.com/midasa.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/bestfriends/retro64_loader.dll
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab

PC neustarten
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

Loesche:
<C:\PROGRA~1\DESKMA~1\DeskMateAutoUpdate.exe
<C:\DOKUME~1\SYSTEM~1\ANWEND~1\KINDNA~1\Barb readme.exe

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

Gehe wieder in den Normalmodus

#ClaerProg..lade die neuste Version <1.4.0 Final
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher
nur Win9x/ME)
- Download-Listen des Netscape/Opera

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

http://bilder.informationsarchiv.net/Nikitas_Tools/
Lade: SYS-UP.zip
entpacke und klicke: SysUp.exe (DOS oeffnet sich)
TrendMikro -->scan (Poste das Scanlog)

Lade: FindIt.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/
Lade, entpacke und klicke auf: "find.bat" [ignoriere : File not found messages]
<DOS oeffnet sich -->warte den Scan ab --> es oeffnet sich der Texteditor --> und poste den Text von output.txt.

dann poste das neue Log vom HijackThis, sowie das Scanlog vom eScan.und die anderen
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Vielen Dank für die Antwort.

Hab zuvor mal VM und mein Java neuinstalliert und nun schließen auch die Java-Applets nicht mehr automatisch, sondern bleiben offen.
Der Scan aller "csrss.exe" war ohne Ergebnis:

Scanned file: csrss.exe

csrss.exe - OK


Statistics:
Known viruses: 113576 Updated: 02-01-2005
File size (Kb): 6 Virus bodies: 0
Files: 1 Warnings: 0
Archives: 0 Suspicious: 0

Die Icons sind nun auch wieder alle normal. :O)) *freu*
Hatte nach dem Scan mit dem Mwav einen Bluescreen im abgesicherten Modus bekommen und musste die Einstellung wählen, die zum letzten Mal funktionierte, denn der war dauerhaft und kann von daher diesen Log nicht posten. Der hatte zwei Viren und nen Backdoorfile gefunden. Zwei Dateien wurden also gelöscht, eine umbenannt.



Find It:

Warning! This utility will find legitimate files in addition to malware.
Do not remove anything unless you are sure you know what you're doing.

------- System Files in System32 Directory -------

Datentr„ger in Laufwerk C: ist Speeddevil
Datentr„gernummer: 20DB-15E1

Verzeichnis von C:\WINNT\System32

02.01.2005 18:56 <DIR> dllcache
0 Datei(en) 0 Bytes
1 Verzeichnis(se), 491.741.184 Bytes frei

------- Hidden Files in System32 Directory -------

Datentr„ger in Laufwerk C: ist Speeddevil
Datentr„gernummer: 20DB-15E1

Verzeichnis von C:\WINNT\System32

02.01.2005 18:56 <DIR> dllcache
10.04.2004 14:47 <DIR> GroupPolicy
10.04.2004 14:40 21.817 folder.htt
10.04.2004 14:40 271 desktop.ini
2 Datei(en) 22.088 Bytes
2 Verzeichnis(se), 491.741.184 Bytes frei

---------- Files Named "Guard" -------------

Datentr„ger in Laufwerk C: ist Speeddevil
Datentr„gernummer: 20DB-15E1

Verzeichnis von C:\WINNT\System32


--------- Temp Files in System32 Directory --------

Datentr„ger in Laufwerk C: ist Speeddevil
Datentr„gernummer: 20DB-15E1

Verzeichnis von C:\WINNT\System32

05.05.2004 21:50 135.952 SET1BE.tmp
11.11.2002 14:35 123.664 SET1B8.tmp
11.11.2002 14:35 131.344 SET1B9.tmp
11.11.2002 14:35 512.272 SET1B7.tmp
11.11.2002 14:35 62.736 SET1BA.tmp
11.11.2002 14:35 49.424 SET1BB.tmp
11.11.2002 14:35 472.336 SET1BC.tmp
11.11.2002 14:35 91.920 SET1BD.tmp
10.12.1999 13:00 2.951 CONFIG.TMP
9 Datei(en) 1.582.599 Bytes
0 Verzeichnis(se), 491.741.184 Bytes frei

---------------- User Agent ------------

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"DT"="IEAK"


------------ Keys Under Notify ------------

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


---------------- Xfind Results -----------------

Der Befehl "Xfind" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.

-------------- Locate.com Results ---------------





Der TrendMicro-Scan war ohne Ergebnisse.


<---*sich ganz dolle bedankt* :O))


Was mich noch brennend interessieren würde ist die Frage, wie ich dem Ganzen in Zukunft vorbeugen kann und welche Tools ich dafür benötige. Hab keine Lust mehr drauf, das alles wieder zu machen. :O|