~ Windows Internet Explorer ~ öffnet sich

#1 Hallo,

seit gestern Abend öffnet sich immer eine leere Seite

~ Windows Internet Explorer ~

Wie kann ich dies beheben?
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:02:11, on 30.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\svchost.exe
L:\Programme\Lavasoft\Ad-Aware\aawservice.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\Gemeinsame Dateien\AOL\1180704905\ee\AOLSoftware.exe
F:\Programme\FreePDF_XP\fpassist.exe
F:\WINDOWS\system32\spoolsv.exe
L:\Programme\SlySoft\CloneCD\CloneCDTray.exe
F:\Programme\Java\jre1.6.0_07\bin\jusched.exe
F:\WINDOWS\system32\ctfmon.exe
K:\Lustiges Allerlei\CrackAnyDVD\AnyDVD.exe
L:\Programme\Spybot - Search & Destroy\TeaTimer.exe
F:\Programme\DAEMON Tools Lite\daemon.exe
F:\dokumente und einstellungen\loxagon\lokale einstellungen\anwendungsdaten\dmfncmve.exe
F:\WINDOWS\system32\cisvc.exe
F:\Programme\OpenOffice.org 2.4\program\soffice.exe
F:\Programme\OpenOffice.org 2.4\program\soffice.BIN
F:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
F:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\wscntfy.exe
F:\WINDOWS\system32\wuauclt.exe
F:\Programme\internet explorer\iexplore.exe
F:\Programme\Java\jre1.6.0_07\bin\jucheck.exe
F:\WINDOWS\system32\cidaemon.exe
L:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - F:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - F:\Programme\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - L:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - F:\Programme\FlashGet\getflash.dll
O4 - HKLM\..\Run: [ATIPTA] F:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HostManager] F:\Programme\Gemeinsame Dateien\AOL\1180704905\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [IPHSend] F:\Programme\Gemeinsame Dateien\AOL\IPHSend\IPHSend.exe
O4 - HKLM\..\Run: [ATICCC] "F:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FreePDF Assistant] F:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CloneCDTray] "l:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "F:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] l:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "F:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [dmfncmve] "f:\dokumente und einstellungen\loxagon\lokale einstellungen\anwendungsdaten\dmfncmve.exe" dmfncmve
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = F:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: OpenOffice.org 2.4.lnk = F:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - F:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - F:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - L:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - L:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O15 - Trusted IP range: http://192.168.0.1
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - http://service.maxdome.de/de/systemcheck/HWTest.CAB
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1227291726310
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1227291715107
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game01.zylom.com/activex/zylomgamesplayer.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - L:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - F:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - F:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - F:\Programme\WinPcap\rpcapd.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - F:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7983 bytes

Ich ich "Laie" vermute dass diese Zeilen wegkönnen/müssen

Zitat

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

Oder?

#2 Hast du gestern irgendeine Software installiert? Du hast da einen Navipromo, der sich gerne als Sponsor mit installiert...

Fuege folgende Zeile unter Start/Ausfuehren ein und druecke enter

"f:\dokumente und einstellungen\loxagon\lokale einstellungen\anwendungsdaten\dmfncmve.exe" -uninstall

starte danach den PC neu und schaue, ob die Zeile
O4 - HKCU\..\Run: [dmfncmve] "f:\dokumente und einstellungen\loxagon\lokale einstellungen\anwendungsdaten\dmfncmve.exe" dmfncmve

in Hijackthis verschwunden ist.
__________
MfG Ralf
SEO-Spam Hunter

#3 Ja, von DVD "Icewind Dale" + AddOn (Herz des Winters) und von der Herstellerseite den neuesten Patch. Sonst nichts...

Aus der gleichen Sammelbox habe ich im Novemver Baldurs Gate 1+2+AddOns aufgezogen, gab Null Probleme. Aber am Spiel wirds ja nicht wirklich liegen, oder?

Edit: Ja ist weg!

#4 Als erstes nutze die mit Windows gelieferte Datenträgerbereinigung(außer alte Dateien komprimieren) und säubere dort die Systemwiederherstellung über "weitere Optionen".
http://windowshelp.microsoft.com/Windows/de-DE/help/1264bc24-72a8-48aa-84e3-a355327139d91031.mspx

Erstelle bitte zur Kontrolle noch ein Gmer Report:
http://forum.hijackthis.de/showthread.php?t=16868

sowie ein rsit Report. Im zweifelsfalle die Reporte bitte unten unter "Anhang" anhaengen, anstatt sie einzufuegen. Die sind teilweise sehr lang!

http://forum.chip.de/viren-trojaner-wuermer/anleitung-randoms-system-information-tool-rsit-1097239.html
__________
MfG Ralf
SEO-Spam Hunter

#5 Sooooooo, hier wäre einmal das von Gmer!

#6 Hier wäre einmal was von Rsit:

#7 Hier wäre das andere von Rsit

#8 Arbeite bitte den Punkt 1 aus http://forum.hijackthis.de/showpost.php?p=240953&postcount=4 ab.
__________
MfG Ralf
SEO-Spam Hunter

#9 Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 62 !

----

copy of MBR has been found in sector 62 ! = Böse, oder?

#10 "copy of MBR has been found in sector 62 ! = Böse, oder?"
Waere boese, wenn "user & kernel MBR" nicht "OK" waere....



Du solltest nochmal einen Kontrollscan mit www.freedrweb.com machen und mit F-secure: http://support.f-secure.de/ger/home/ols.shtml

---

mache einen Scan mit Malwarebytes -
http://www.malwarebytes.org/mbam.php

Lade es herunter, installiere es und wähle bei Reiter:

-> “Update “> “Suche nach Aktualisierungen“
-> “Einstellungen“> “Beende Internet Explorer während des Löschvorgangs“
-> “Scanner”> "Quickscan durchfuehren".

Wenn am Ende Infizierungen gefunden werden, diese anhaken und entfernen lassen. Starte dein Rechner neu

es ist hilfreich für den Mod im Sicherheitsforum, wenn dann das Reinigungslog von Malwarebytes mit in den Beitrag kopiert wird. (kann man auch als Anhang als txt-Datei machen)

Downloadlink, falls der Download von der Mbam Seite geblockt wird:
http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

---

Falls du die Moeglichkeit hast, nutze auch die Avira Bootcd: http://board.protecus.de/t23979.htm#298775

Melde dich mit den Ergebnissen...
__________
MfG Ralf
SEO-Spam Hunter

#11 Dr. Web - Alles okay
F - Secure: 7 Probleme, behoben. Seltsamerweise hat sich der Explorer dabei auf 500+MB (!) aufgeblasen *schock!*

Nun gehts weiter.

#12 Ja, das bei F-secure ist in diesem Fall "normal" F-secure hat bestimmt nur cookies o ae. gefunden
__________
MfG Ralf
SEO-Spam Hunter

#13 Datenbank Version: 1577
Windows 5.1.2600 Service Pack 2

30.12.2008 18:24:58
mbam-log-2008-12-30 (18-24-56).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 56737
Laufzeit: 11 minute(s), 31 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\The Weather Channel (Adware.Hotbar) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
F:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> No action taken.
F:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> No action taken.
F:\WINDOWS\logo1_.exe (Worm.Viking) -> No action taken.
F:\WINDOWS\system32\systems.txt (Trojan.FakeAlert) -> No action taken.

#14 Ja, das sind Ordner, , die Escan einbaut und mbam gleich wieder meldet. Escan sollte man eigentlich nicht nutzen...
__________
MfG Ralf
SEO-Spam Hunter

#15 Hätte ich die nicht löschen sollen?
Falls es doch richtig war: Soll ich noch einen Scan machen oder ist nun alles "okay"?