Ständig Popups im IExplorer

Thema ist geschlossen!
Thema ist geschlossen!
#0
01.08.2006, 09:53
...neu hier

Beiträge: 3
#1 Hi mein erster Beitrag hier. Ich hoffe ich mach alles richtig.
Mein Problem wurde hier zwar schon gepostet, aber ich konnte leider noch keine Lösung erzielen. Im Taskmanager sind immer mehrere IExpl.-Einträge obwohl kein IEXpl. aktiv ist. Ständig kommen Popups hoch.

Ich poste nun hier mal meinen Logfile in der Hoffnung Ihr könnt den Trojaner oder was auch immer es ist identifizieren:


Zitat

Logfile of HijackThis v1.99.1
Scan saved at 09:52:33, on 01.08.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\xampp\apache\bin\Apache.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\xampp\FileZillaFTP\FileZillaServer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$EAZYSALES\Binn\sqlservr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\xampp\apache\bin\Apache.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
D:\INSTALL_PROGRAMME\ANTI-SPYWARE\HIJACKTHIS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/PROJEKTE/stuff/resize.htm
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {BDD5395B-7FD4-818F-049F-4EC318E96298} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageWorkstation\TrueImageMonitor.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O9 - Extra 'Tools' menuitem: Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,90/mcinsctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125948604540
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1125948562962
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,23/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB13B804-BC8C-47EF-9853-41860F4586D0}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - C:\Programme\xampp\apache\bin\Apache.exe" -k runservice (file missing)
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Programme\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: mysql - Unknown owner - C:\Programme\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Als Virenscanner läuft bei mir: Avira AntiVir PE
Dort wurde nichts weiter gefunden.

Als Firewall läuft bei mir: ZoneAlarm Pro Version: 6.5.725.000

Das ServicePack2 für XP habe ich noch nicht installiert.


Vielen Dank für Eure Hilfe

T.
Dieser Beitrag wurde am 01.08.2006 um 10:06 Uhr von Toddy editiert.
Seitenanfang Seitenende
01.08.2006, 16:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Toddy

auf c:\ entpacken

look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint
http://virus-protect.org/zip/look.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.08.2006, 18:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 habe ich nicht geschrieben - auf C:\ entpacken ????????????
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.08.2006, 18:43
...neu hier

Themenstarter

Beiträge: 3
#4 Sorry,

so nun stimmt's:

Zitat

Verzeichnis von C:\Dokumente und Einstellungen\Toddy\Anwendungsdaten

01.08.2006 15:57 <DIR> Adobe
18.06.2006 13:45 <DIR> AdobeUM
19.09.2005 10:11 <DIR> APPLEC~1 Apple Computer
01.08.2006 18:42 <DIR> Azureus
11.01.2006 15:59 <DIR> ELTIMA~1 Eltima Software
06.09.2005 11:28 <DIR> EPSON
06.07.2006 23:47 <DIR> FRITZ!
25.03.2006 09:55 <DIR> Google
06.09.2005 23:05 <DIR> Help
05.09.2005 21:23 <DIR> IDENTI~1 Identities
30.01.2006 23:33 <DIR> IDMComp
18.11.2005 13:09 2.231.679 Install.dat
06.07.2006 13:43 <DIR> Lavasoft
25.01.2006 14:40 <DIR> MACROM~1 Macromedia
19.11.2005 11:20 <DIR> MCAFEE~1.COM McAfee.com Personal Firewall
06.07.2006 15:34 <DIR> MEMODA~1 memodartintra
21.06.2006 09:58 <DIR> Mozilla
26.09.2005 10:55 1.568 mpauth.dat
28.12.2005 10:05 <DIR> NETPUM~1 NetPumper
05.07.2006 12:00 <DIR> ONLINE~1 online jump two
30.07.2006 08:30 <DIR> OPENOF~1.ORG OpenOffice.org2
18.07.2006 08:05 <DIR> Opera
15.12.2005 11:46 <DIR> Real
08.09.2005 10:48 <DIR> Sun
03.04.2006 15:22 <DIR> SUPERM~1 SuperMailer
09.07.2006 15:44 <DIR> T-DSLS~1 T-DSL SpeedManager
12.01.2006 00:22 <DIR> Talkback
05.09.2005 21:33 <DIR> TUNEUP~1 TuneUp Software
28.11.2005 12:45 <DIR> vlc
2 Datei(en) 2.233.247 Bytes
27 Verzeichnis(se), 3.402.907.648 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: EC5C-4F41

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

27.01.2006 13:14 <DIR> Acronis
09.02.2006 11:07 305 ADDR_F~1.HTM addr_file.html
01.08.2006 15:57 <DIR> Adobe
06.09.2005 09:17 <DIR> ADOBES~1 Adobe Systems
01.08.2006 13:46 <DIR> ANTIVI~1 AntiVir PersonalEdition Classic
19.09.2005 10:08 <DIR> APPLEC~1 Apple Computer
25.01.2006 14:38 <DIR> MACROM~1 Macromedia
18.11.2005 14:27 <DIR> McAfee
18.11.2005 14:12 <DIR> McAfee.com
29.11.2005 12:51 1.743 QTSBAN~1 QTSBandwidthCache
05.07.2006 11:59 <DIR> SOAPST~1 soapstyledvdlive
27.07.2006 19:37 <DIR> SPYBOT~1 Spybot - Search & Destroy
09.07.2006 15:44 <DIR> T-DSLS~1 T-DSL SpeedManager
16.11.2005 18:13 <DIR> TUNEUP~1 TuneUp Software
07.09.2005 14:16 <DIR> WINDOW~1 Windows Genuine Advantage
2 Datei(en) 2.048 Bytes
13 Verzeichnis(se), 3.402.907.648 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: EC5C-4F41

Verzeichnis von C:\WINDOWS\tasks

01.08.2006 18:00 258 ACD5E7CF917E61A3.job
18.08.2001 14:00 65 desktop.ini
01.08.2006 09:10 6 SA.DAT
3 Datei(en) 329 Bytes
0 Verzeichnis(se), 3.402.903.552 Bytes frei

Seitenanfang Seitenende
01.08.2006, 18:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Toddy

Info Swizzor-Trojaner
http://virus-protect.org/artikel/spyware/lop1.html
---------------------------------------------------------------------

**
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

**
PC neustarten (in den abgesicherten Modus) --> F8 drücken, wenn der PC hochfährt
das ist notwendig, denn im Normalmodus kann man die Dateien nicht löschen.

**
loeschen:

C:\Dokumente und Einstellungen\Toddy\Anwendungsdaten\NetPumper
C:\Dokumente und Einstellungen\Toddy\Anwendungsdaten\online jump two
C:\Dokumente und Einstellungen\Toddy\Anwendungsdaten\memodartintra
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\soapstyledvdlive

**
boote wieder in den normalmodus


**
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften ---> Reiter Systemwiederherstellung ---> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren)

**
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h ACD5E7CF917E61A3.job
del ACD5E7CF917E61A3.job
- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal

**
CleanUp anwenden
http://virus-protect.org/cleanup.html

**
scanne mit Dr.Web (alles löschen oder umbenennen oder verschieben lassen ! )
http://virus-protect.org/cureit.html

dann berichte ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.08.2006, 10:22
...neu hier

Themenstarter

Beiträge: 3
#6 Hallo Sabina,

super Anleitung - hab's genauso gemacht. Es hat zwar etwas gedauert, aber die genannten Tools haben ganz schön aufgeräumt.
Keine Popups beim IExplorer mehr und noch diverse weitere Viren, Trojaner etc. sind eliminiert.


Herzlichen Dank Dir


T.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: