Internet Browser öffnet sich Automatisch !!!

#1 Hallo Liebe Protecus Gemeinde.

Ich habe ein Großes Problem.
eit ein Paar Tagen öfnnet sich mein Internet Browser Automatisch, und zeigt mir die dollsten WerbeSeiten an.

Ich benutze Opera 8.5

Habe schon mit verschiedenen Programmen versucht das Problem zu lösen, leider erfolglos.

Habe auch die anderen Beiträge zu diesem Thema gelesen, kam damit aber auch nicht weiter.

Vieleich kann mir ja einer von euch Helfen, wäre sehr Dankbar dafür.

Hier mein HijackThisLog:


Logfile of HijackThis v1.99.1
Scan saved at 13:07:29, on 19.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
d:\Programme\mst software\mst Defrag\mstDfrgS.exe
d:\Programme\NOD32\nod32krn.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
d:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\Opera\Opera.exe
D:\Programme\Progs\hijackthis\HijackThis.exe

F2 - REG:system.ini: UserInit=userinit.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] d:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [nod32kui] "d:\Programme\NOD32\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [Yahoo! Pager] "D:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - d:\Programme\Yahoo!\Common\yinsthelper.dll
O20 - Winlogon Notify: Explorer - C:\WINDOWS\system32\ir0ql5d51.dll
O23 - Service: mst Defrag Service (mstDfrgS) - mst software, Martin Stiemerling, Germany - d:\Programme\mst software\mst Defrag\mstDfrgS.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - d:\Programme\NOD32\nod32krn.exe




Vielen Dank im voraus !


MfG

#2 Bin mir nicht absolut sicher, aber sieht nach Look2me-Verseuchung aus.
Du kannst mal die DLL dieses Eintrages unter http://virusscan.jotti.org/de/ scannen.
O20 - Winlogon Notify: Explorer - C:\WINDOWS\system32\ir0ql5d51.dll

Einfach fixen bringt hier vermutlich nichts.
Versuche es mal mit dem L2MRemover.
Mehr zu dem Tool unter http://www.simplytech.it/L2MRemover/index_de.htm


__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 es ist wahrscheinlich nicht mehr nur der Look2Me...da haengt noch mehr drin....
Ausserdem...das gepostete Tool findet/loescht anscheinend diese neue Variante nicht........

also: tiefer graben

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#4 Hallo, und erstmal Vielen Dank für eure schnelle Hilfe.

@ joschi:

Die Datei C:\WINDOWS\system32\ir0ql5d51.dll ist auf meinem System nicht vorhanden.
Bei dem L2MRemover bekomme ich folgende fehlermeldung:




@ Sabina:

Hier meine Log files, hoffe ich hab es so richtig gemacht.

Datentr„ger in Laufwerk C: ist DRIVE_C
Volumeseriennummer: 4411-C5A5

Verzeichnis von C:\WINDOWS\system32

20.03.2006 08:42 240.736 FNTCACHE.DAT
20.03.2006 08:27 234.055 j4j6le1s1h.dll
20.03.2006 08:27 237.026 rchx32.dll
19.03.2006 17:51 235.975 n82ulif9182.dll
19.03.2006 11:02 270.336 imon.dll
16.03.2006 15:48 2.516 KGyGaAvL.sys
10.03.2006 18:57 2.278 wpa.dbl
10.03.2006 18:56 3.503 $winnt$.inf
10.03.2006 18:53 634 InstallUtil.InstallLog
10.03.2006 18:51 2.951 CONFIG.NT
10.03.2006 18:51 16.832 amcompat.tlb
10.03.2006 18:51 23.392 nscompat.tlb
10.03.2006 18:50 488 logonui.exe.manifest
10.03.2006 18:50 488 WindowsLogon.manifest
10.03.2006 18:50 749 cdplayer.exe.manifest
10.03.2006 18:50 749 ncpa.cpl.manifest
10.03.2006 18:50 749 nwc.cpl.manifest
10.03.2006 18:50 749 sapi.cpl.manifest
10.03.2006 18:50 749 wuaucpl.cpl.manifest
10.03.2006 18:48 21.740 emptyregdb.dat
10.03.2006 18:46 0 h323log.txt
21.02.2006 20:07 201.728 m2gshell.dll
21.02.2006 20:07 79.360 mp3gain.exe
19.02.2006 10:44 522.752 NCTAudioTransform2.dll
19.02.2006 10:44 634.880 NCTAudioEditor2.dll
19.02.2006 10:44 877.568 NCTAudioFile2.dll
19.02.2006 10:44 307.200 msvcr70.dll
19.02.2006 10:44 467.456 NCTAudioPlayer2.dll
19.02.2006 10:44 966.144 NCTAudioInformation2.dll
19.02.2006 10:44 467.968 NCTAudioRecord2.dll
08.12.2005 13:56 65.536 QuickTimeVR.qtx
08.12.2005 13:56 49.152 QuickTime.qts
10.11.2005 13:03 127.078 javaws.exe

Datentr„ger in Laufwerk C: ist DRIVE_C
Volumeseriennummer: 4411-C5A5

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp


Datentr„ger in Laufwerk C: ist DRIVE_C
Volumeseriennummer: 4411-C5A5

Verzeichnis von C:\WINDOWS

20.03.2006 08:43 0 0.log
20.03.2006 08:42 2.048 bootstat.dat
20.03.2006 08:42 13.016 WindowsUpdate.log
20.03.2006 08:30 400 ODBC.INI
19.03.2006 18:18 50 wiaservc.log
19.03.2006 18:18 464 wiadebug.log
19.03.2006 17:50 741.324 ntbtlog.txt
19.03.2006 16:57 573 win.ini
19.03.2006 16:57 227 system.ini
14.03.2006 12:27 69 NeroDigital.ini
13.03.2006 11:51 73.216 ST6UNST.EXE
12.03.2006 18:22 4.202 ODBCINST.INI
11.03.2006 09:57 80 DirectX.log
11.03.2006 09:19 25.984 EPSTPLOG.TXT
11.03.2006 08:43 203.891 setupact.log
10.03.2006 18:57 829 OEWABLog.txt
10.03.2006 18:57 766.840 setuplog.txt
10.03.2006 18:57 109 oobeact.log
10.03.2006 18:57 8.192 REGLOCS.OLD
10.03.2006 18:56 996 setuperr.log
10.03.2006 18:56 4.512 imsins.BAK
10.03.2006 18:52 9.245 KB885523.log
10.03.2006 18:52 8.078 KB885894.log
10.03.2006 18:52 4.674 KB885884.log
10.03.2006 18:52 5.216 KB884020.log
10.03.2006 18:51 7.604 KB834707.log
10.03.2006 18:51 0 control.ini
10.03.2006 18:51 316.640 WMSysPr9.prx
10.03.2006 18:50 749 WindowsShell.Manifest
10.03.2006 18:48 1.023 sessmgr.setup.log
10.03.2006 18:48 36 vb.ini
10.03.2006 18:48 37 vbaddin.ini
10.03.2006 18:48 133 DtcInstall.log
10.03.2006 18:46 200 cmsetacl.log
10.03.2006 18:45 0 Sti_Trace.log
10.03.2006 18:43 1.334 regopt.log
21.02.2006 20:07 79.360 mp3gain.exe
08.02.2006 19:25 201.728 lame.exe
03.01.2006 17:45 1.989 uninstall_nmon.vbs
08.03.2005 11:33 28.252 corelpf.lrs
11.11.2004 13:00 65.954 Pr„riewind.bmp
11.11.2004 13:00 9.522 Zapotek.bmp
11.11.2004 13:00 70.144 NOTEPAD.EXE
11.11.2004 13:00 15.872 TASKMAN.EXE


Datentr„ger in Laufwerk C: ist DRIVE_C
Volumeseriennummer: 4411-C5A5

Verzeichnis von C:\

20.03.2006 08:51 0 sys.txt
20.03.2006 08:51 4.392 system.txt
20.03.2006 08:50 130 systemtemp.txt
20.03.2006 08:50 99.239 system32.txt
20.03.2006 08:42 2.145.386.496 PAGEFILE.SYS
19.03.2006 16:57 221 boot.ini
19.03.2006 12:08 757.671 YServer.txt
11.03.2006 08:54 189 CDSetup.log
10.03.2006 18:51 0 CONFIG.SYS
10.03.2006 18:51 0 IO.SYS
10.03.2006 18:51 0 AUTOEXEC.BAT
10.03.2006 18:51 0 MSDOS.SYS
11.11.2004 12:00 4.952 bootfont.bin
11.11.2004 12:00 251.184 ntldr
11.11.2004 12:00 47.564 NTDETECT.COM
16 Datei(en) 2.149.109.884 Bytes
0 Verzeichnis(se), 23.817.338.880 Bytes frei





MfG

zuzu

#5 zuzusde

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor]

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ....

C:\WINDOWS\system32\j4j6le1s1h.dll
C:\WINDOWS\system32\ir0ql5d51.dll
C:\WINDOWS\system32\guard.tmp
C:\WINDOWS\system32\rchx32.dll
C:\WINDOWS\system32\n82ulif9182.dll
C:\WINDOWS\system32\drivers\netpt.sys
C:\WINDOWS\system32\imon.dll
C:\WINDOWS\uninstall_nmon.vbs

PC neustarten
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).

1.
Die Datei "fixme.reg" auf dem Desktop doppelklicken --> der Registry beifuegen

2.
C:\Programme\Network Monitor (suchen/loeschen)

3.
suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

boote wieder in den normalmodus

lade l2mfix, klicke Option 2 --> starte den PC neu und poste nach Neustart und Scan den Scanreport
http://virus-protect.org/l2mfix.html

scanne mit ewido (im abgesicherten Modus) und poste den scanreport
http://virus-protect.org/ewido.html

---------------------------------------------------------------------------------------------
warum hast du den IE unbrauchbar gemacht ?? Nun sind keine WindowsUpdates+ Onlinescans mehr moeglich...........

**
__________
MfG Sabina

rund um die PC-Sicherheit