Explorer öffnet selbstständig, Formatierung zwecklos

#1 Hallo,

ich bin wirklich verzweifelt. Ihr seid meine letzte Hoffnung.

Situation:

Der IExplorer wird ständig gestartet (Startseite google). Anfangs kamen dies Popups sporadisch, mittlerweile sobald ich meinen Laptop anschalte.

Ich habe schon diverses probiert:

* Spybot SD Scan
* Aawsepersonal Scan
* Kaspary
* Hijack Log in die automatische Auswertung gegeben => keine Indikation
* Platte komplett formatiert und Windows neu installiert => Anweisung Trojaner Board


Sobald ich den Rechner einschalte, kommen - obwohl nicht mit dem Netz verbunden (!), die Popups.

Das Log sah nach der vorletzten Neuinstallation folgendermaßen aus:

(Der Rechner war noch nicht am Netz)

Logfile of HijackThis v1.99.1
Scan saved at 23:12:51, on 02.07.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTFMON.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\1234\Desktop\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Aktuell befindet sich auf dem System die Media Center Edition von Toshiba, inkl. SP2) => zunächst gleiche Symptome. Habe das System dann im sicheren Modus gestartet und dingens.org bzw. mozilla (nun standard) software und eingschr. Konto installiert.

Zunächst kein Popup aber CR/DVD gibt bei leeren CDs ungütigen Zugriff an. Die Treiber sind jedoch installtiert. Neuer Log im Anhang.

Bitte um Hilfe!!!!

Max

#2 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo,

hier die Logs. Ich konnte das Programm leider nur im Abgesicherten Modus ausführen.

System:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C42-3E30

Verzeichnis von C:\WINDOWS

04.07.2006 00:24 316.978 ntbtlog.txt
04.07.2006 00:23 2.048 bootstat.dat
04.07.2006 00:17 78.357 WindowsUpdate.log
04.07.2006 00:17 6.500 SchedLgU.Txt
04.07.2006 00:11 587.231 setupapi.log
04.07.2006 00:10 0 0.log
03.07.2006 23:44 2.209 OEWABLog.txt
03.07.2006 23:44 30.063 wmsetup.log
03.07.2006 23:43 5.252 DPINST.LOG
03.07.2006 23:41 1.321.910 setuplog.txt
03.07.2006 23:41 369.892 setupact.log
03.07.2006 23:40 9.620 regopt.log
03.07.2006 23:39 163.632 tsoc.log
03.07.2006 23:39 4.541 sessmgr.setup.log
03.07.2006 23:39 402.767 iis6.log
03.07.2006 23:39 641 DtcInstall.log
03.07.2006 23:34 231 system.ini

System 32

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C42-3E30

Verzeichnis von C:\WINDOWS\system32

04.07.2006 00:14 380.684 perfh009.dat
04.07.2006 00:14 53.098 perfc009.dat
04.07.2006 00:14 391.518 perfh007.dat
04.07.2006 00:14 63.930 perfc007.dat
04.07.2006 00:14 897.672 PerfStringBackup.INI
04.07.2006 00:10 45.378 nvapps.xml
03.07.2006 23:43 308 results.txt
03.07.2006 23:42 1.158 wpa.dbl
03.07.2006 23:41 389 $winnt$.inf
04.04.2006 08:08 333 $ncsp$.inf

sys

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C42-3E30

Verzeichnis von C:\

04.07.2006 00:27 0 sys.txt
04.07.2006 00:27 8.775 system.txt
04.07.2006 00:27 136 systemtemp.txt
04.07.2006 00:25 102.287 system32.txt
04.07.2006 00:23 1.610.612.736 pagefile.sys
03.07.2006 23:41 209 boot.ini
04.04.2006 17:56 282 SWSTAMP.TXT
17.03.2006 14:02 0 AUTOEXEC.BAT
17.03.2006 14:02 0 IO.SYS
17.03.2006 14:02 0 MSDOS.SYS
17.03.2006 14:02 0 CONFIG.SYS
10.08.2004 15:00 4.952 bootfont.bin
10.08.2004 15:00 251.184 ntldr
10.08.2004 15:00 47.564 NTDETECT.COM
14 Datei(en) 1.611.028.125 Bytes
0 Verzeichnis(se), 127.968.018.432 Bytes frei

Temp => leer, wie es nach dem Clean Up sein soll


Lieben Gruß

Max

#4 der Rechner braucht dringend:

**
die WindowsUpdates (SP2)
*Installation über Windows Update (Internet)

www.windowsupdate.com

1. Wählen Sie im Start-Menü den Befehl Windows Update.
Sie werden automatisch mit der Internetseite Windows Update verbunden (Internetverbindung vorausgesetzt).
2. Aktivieren Sie Windows XP Servicepack 2 und Updates installieren.


**
ein Antiviren-Programm + Guard
http://virus-protect.org/antivirus.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo,

Im abgesicherten Modus mit Netzwerkunterstützung finde ich mein WLan Access Point nicht.

Für WLan Konnektivität muss ich den Rechner im normalen Modus starten. Richtig?

In Normalen Modus ist der Rechner jedoch nicht handelbar ...

Habe eine ältere Version des SP2 auf CD. Werde dieses im abgesicherten Modus installieren. Danach versuche ich es noch einmal im normalen Modus.

Melde mich sobald ich weitere Infos habe.

*********

Meine versprochene Info:

Keine Möglichkeit das System in den Griff zu bekommen. Ich erhalte an die 150 Popups bevor ich auch nur irgend etwas machen kann.

Wie kann ich das System so formatieren, dass nichts von diesem Virus übrig bleibt? Ich bin zu allem bereit .... *frustriertsei*

LG

Max

PS: Danke für die Hilfe!!!

#6 Inhalt der PopUps ??? - kommst du an die Links, welche du anklicken sollst und kannst sie hier posten ?

---------------------------

mache alles platt und formatiere, wahrscheinlich hast du nur XP drueberinstalliert ? Oder eine Reparatur gemacht ?
__________
MfG Sabina

rund um die PC-Sicherheit

#7

Zitat

Problem ist noch im vollen Umfang vorhanden. Habe Windows gerade neu installiert. Keine Netzwerkverbindung ... nichts ... abre => die Popups sind da ...in Hülle und Fülle.

du hast mir viel per PM geschrieben, aber nicht auf meine Frage geantwortet...hast du alle Partitionen formatiert ?
wie ist der Inhalt der Popups ?
__________
MfG Sabina

rund um die PC-Sicherheit

#8 Hallo Sabina,

sry für die späte Antwort. Die Arbeit hatte mich die letzten Tage im Griff. Alles neu partitioniert und formatiert. Ich habe sogar ein neues XP gekauft. Der inhalt der Popups entspricht der Start Seite. momentan kommen sie nicht mehr so oft aber sie kommen - in regelmäigen Abständen. Also das Problem existiert noch.

Ein neues Hijack etc. sind im log.zip beigefügt.

Ich habe wirklich keine Ahnung mehr ...

Lieben Gruss

Max

#9

Zitat

Der inhalt der Popups entspricht der Start Seite

1.
bitte genauer beschreiben, am besten, mache einen screenshot

2.
Start - Einstellungen - Systemsteuerung - Verwaltung - Computerverwaltung - und dann den Eintrag Dienste auswählen

Nachrichtendienst
Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern. Dieser Dienst ist nicht mit Windows Messenger verwandt. Der Warndienst überträgt keine Nachrichten, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.

Der Dienst kann und sollte aufgrund fortgesetzten Missbrauchs deaktiviert werden.

Starttyp-Empfehlung: Deaktiviert

---------------
3.
poste das log vom silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Es wäre evtl. auch interessant zu wissen, ab welchem Zeitpunkt diese PopUps auftreten. Welche Programme hast Du vorher installiert?
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser