Browser schliesst sich von selber. Mozilla Firefox und IE

#16 @Sabina

Ich habe den Kaspersky-Scan durchgeführt und er hat nichts entdeckt. Ich habe mal eine Seite aufgerufen, bei der vorher sofort beendet wurde und es ist nichts passiert.

Anscheinend lag es an dem gefunden und entfernten Virus!? Java.Trojan.Exploit.Bytverify

Ich werde es weiter testen. Aber schon mal jetzt vielen Dank an deine tatkräftige Hilfe und Unterstützung. Weiter so...

#17 Auch bei mir ein Problem...manche Seiten schließen sich komplett (der ganze BRowser) ...sowohl IE als auch Mozilla...besonder ärgerlich ist das weil ich z.b nicht auf volksbank-bocholt.de komme und mein onlinebanking nicht nutzen kann, auf das ich als ebayer sehr angewiesen bin...ich bitte um ganz ganz schnelle hilfe...wär echt sehr nett

schonmal danke .-)
Ich hoffe doch die Informationen reichen...hab auch icq:

323742304

MFG TIMO

----------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 14:27:35, on 25.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\xampp\apache\bin\apache.exe
D:\Programme\xampp\FileZillaFTP\FileZillaServer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\programme\advanced system optimizer\memtuneup.exe
D:\Programme\G DATA DSL-Tuning 2005\DSLTuning2005.exe
D:\Programme\Xfire\Xfire.exe
D:\Programme\xampp\apache\bin\apache.exe
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\Mozilla\firefox.exe
C:\WINDOWS\System32\msiexec.exe
C:\Dokumente und Einstellungen\Timotime\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - D:\Programme\TVgenial\IEButtonTVGenialEBayInterface.dll
O2 - BHO: IE PopUpKiller+DownloadManager ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000001} - D:\PROGRA~1\GDATAD~1\DSLTUN~1.DLL
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {C7C3255F-A6D0-4FE7-92A3-CFD32BF7F7D7} - C:\WINDOWS\system32\wuausfrv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Systweak Memory Optimizer] d:\programme\advanced system optimizer\memtuneup.exe
O4 - HKCU\..\Run: [DSL-Tuning 2005] "D:\Programme\G DATA DSL-Tuning 2005\DSLTuning2005.exe" -TRAY
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Xfire.lnk = D:\Programme\Xfire\Xfire.exe
O8 - Extra context menu item: Mit DSL-Tuning 2005 downloaden - D:\Programme\G DATA DSL-Tuning 2005\IEDownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - D:\Programme\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - D:\Programme\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

#18 Timotime

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing)
O2 - BHO: (no name) - {C7C3255F-A6D0-4FE7-92A3-CFD32BF7F7D7} - C:\WINDOWS\system32\wuausfrv.dll
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

PC neustarten

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip

4.
RootkitRevealer (poste das Log)
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina

rund um die PC-Sicherheit

#19 sooo ich mach das jetzt mal so und häng das txt. file dran weil das doch ein WENIG viel ist...bin ja mal gespannt :-)
MFG TIMO

#20 Timotime

Zitat

WENIG viel ist

1.
du wendest bitte den CleanUp an. (wie ich schon geschrieben hatte)
http://virus-protect.org/cleanup.html

muss leer sein
Verzeichnis von C:\DOKUME~1\Timotime\LOKALE~1\Temp

+
PC neustarten

2.
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\system32\wuausfrv.dll
C:\WINDOWS\system32\OODBS.lor
C:\WINDOWS\system32\amcompat.tlb
C:\WINDOWS\system32\nscompat.tlb

klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

4.
Dr.Web
http://virus-protect.org/cureit.html

Poste bitte das, was drweb gefuinden hat. Dazu unter Start - Ausfuehren

%userprofil%\doctorweb\cureit.log

eingeben und enter druecken. Den Inhalt der Dinge, die Drweb gefunden hat bitte posten.

5.
Mozilla/Firefox
*Klicken Sie in der Browserleiste auf "Beabeiten"
*In dem Pull-Down Menü ganz unten auf "Einstellungen" klicken.
*Im Fenster 'Einstellungen' in der linken Options-Liste ebenfalls unten links von "Erweitert" auf das graue Dreieck (früher +) klicken
*Im Untermenü die Option "Cache" wählen, daraufhin wechselt das rechte Fenster.
*Dort sehen Sie jetzt zwei Buttons 'Speicher-Cache löschen' und 'Festplatten-Cache löschen'. Klicken Sie auf beide Buttons. Es kann einige Sekunden dauern, was von der Menge der gespeicherten Daten abhängt.
*Schliessen Sie alle Fenster. Sie haben das Löschen Ihres Caches beendet


6..
dann bitte alles noch mal....
also Rootkitrevealer und die 4 logs


---------------

Zitat

C:\Dokumente und Einstellungen\Timotime\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7IOB7PGP\CA9WWR5H.swf 25.04.2006 21:44 7.85 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Timotime\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7IOB7PGP\CAZ20NBX.swf 25.04.2006 21:42 15.25 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Timotime\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7IOB7PGP\CAZ6P49V.swf 25.04.2006 21:42 16.84 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Timotime\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7IOB7PGP\get_billable_countries[1].xml 25.04.2006 17:15 551 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Timotime\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OJF7EG99\CA759JX7.swf 25.04.2006 21:43 12.28 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Timotime\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QP5QV65W\CAOBAP25.swf 25.04.2006 21:43 24.89 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Timotime\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TZ7JT1WA\CA85W7S7.swf

C:\sccfg.sys 25.04.2006 17:08 20 bytes Hidden from Windows API.

C:\Dokumente und Einstellungen\Timotime\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\59dpi4vw.default\Cache\01D9E806d01 25.04.2006 21:44 23.81 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Timotime\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\59dpi4vw.default\Cache\02862DD4d01 25.04.2006 21:44 41.04 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Timotime\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\59dpi4vw.default\Cache\0AAA9C04d01

HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 25.04.2006 21:41 80 bytes Data mismatch between Windows API and raw hive data.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 13.04.2006 04:50 0 bytes Key name contains embedded nulls

__________
MfG Sabina

rund um die PC-Sicherheit

#21 soooo, ich glaub ich hab alles gemacht, diese drweb hat 4 viren gelöscht aber ich habs nich gebacken bekommen da nen log von zu machen :-(

MFG TIMO

PS: das mit mozilla funktioniert auch net so wie es da steht aber hab den cache trotzdem irgendwie gelöscht ^^

#22 Timotime

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)


2.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip

3.
Bitdefender-ScanOnline neu (scanne und kopiere den scanreport ab
http://virus-protect.org/onlinescan.html

Frage: hast du (O&O Defrag) installiert?

Zitat

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 13.04.2006 04:50 0 bytes Key name contains embedded nulls (*)

__________
MfG Sabina

rund um die PC-Sicherheit

#23 hm der scan funktioniert nich :-(, bin aber administrator O.o

edot: japs hab ich drauf...runter damit ?

#24 nein, nichts loeschen...es war nur eine Frage, wegen einem Eintrag...
scanne mit Kaspersky oder Panda...
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#25 Total number of scanned files: 87968
Number of viruses found: 0
Number of infected objects: 0
Number of suspicious objects: 0
Duration of the scan process: 01:36:32


kein virus gefunden.... abe rmein browser closed sich imme rnoch :-(

#26 installiere den Firefox neu (schliesst der sich auch?)
dann berichte

(ich nahm an, der dr.web loescht den Trojaner-Downloader, aber wie e ausschaut, gibt es immer noch temporaere Dateien, die anscheinend nicht geloescht sind....)

Trend-Micro/HouseCall
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#27 hm glaub neuinstallation bringt nicht viel, weil der ie sich ja auch schließt... :-(

#28 http://virus-protect.org/multiavtool.html
* klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.

bei der Eingabe "3" im MULTIAVTOOL muss eine Internetverbindung vorhanden sein

- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

* klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS
__________
MfG Sabina

rund um die PC-Sicherheit

#29 so da wurden nochmal nen paar sachen gefunden:

C:\WINDOWS\webhdll.dll ... Found potentially unwanted program Spyware-WebHancer.
C:\WINDOWS\whAgent.inf ... Found potentially unwanted program Spyware-WebHancer.
The file or process has been deleted.
C:\WINDOWS\whInstaller.exe ... Found potentially unwanted program Adware-NS.dldr.
The file or process has been deleted.
C:\WINDOWS\whInstaller.ini ... Found potentially unwanted program Spyware-WebHancer.
The file or process has been deleted.
Scanning C:\WINDOWS\*.*
C:\WINDOWS\webhdll.dll ... Found potentially unwanted program Spyware-WebHancer.
The file or process has been deleted.

#30 kannst du jetzt Onlinescans machen ? (mit dem IE)
scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit