[marcelm771]

Hallo ich hab seit einiger Zeit das Problem das mein Windows Internet Explorer selbständig Werbefenster öffnet ca alle 5 Minuten ein neues! Mein Virenscanner findet keine verdächtige software und ich hab auch keinen verdächtigen Eintrag im Autostart oder in der Software Liste gefunden! Vielleicht gibt es jemanden der mir noch einen Tipp geben kann wie ich das wieder ausschalte!


MS Windows 7 Hp 64bit
Standardbrowser ist Mozilla Firefox 3.6.4

Vielen Dank schonmal im vorraus!

Gruß
marcel

[DON666]

Lad dir mal HiJackThis HIER herunter und lasse das Log auf der Seite auswerten. Falls du damit nicht klarkommst, kannst du die HiJackThis.log auch hier posten.

Ich bin mir fast zu 100% sicher, dass da irgendein Mist sein Unwesen auf deiner Kiste treibt.

[marcelm771]

Hier mal den Auswurf aus dem HiJackthis! Könnte vielleicht der von mir unterstrichene eintarg der fehler sein? Google kannn mir zu der Datei nichts sagen!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:08:27, on 04.05.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\SlySoft\AnyDVD\AnyDVDtray.exe
C:\Program Files (x86)\Common Files\ACD Systems\EN\DevDetect.exe
C:\Program Files (x86)\Microsoft Office\Office12\ONENOTEM.EXE
C:\Program Files (x86)\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Program Files (x86)\Brother\Brmfcmon\BrMfcWnd.exe
C:\Program Files (x86)\iTunes\iTunesHelper.exe
C:\Program Files (x86)\Brother\ControlCenter3\brccMCtl.exe
C:\Program Files (x86)\Brother\Brmfcmon\BrMfcmon.exe
C:\Program Files (x86)\Internet Explorer\IELowutil.exe
C:\Program Files (x86)\uTorrent\uTorrent.exe
C:\Windows\Iqunya.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe,C:\Windows\system32\sdra64.exe,
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Corel Photo Downloader] C:\Program Files (x86)\Corel\Corel Snapfire\PhotoDownloader.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files (x86)\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files (x86)\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files (x86)\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files (x86)\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKCU\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKCU\..\Run: [ICQ] "C:\Program Files (x86)\ICQ7.1\ICQ.exe" silent loginmode=4
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Program Files (x86)\Microsoft Office\Office12\ONENOTEM.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MIF5BA~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MIF5BA~1\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MIF5BA~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MIF5BA~1\Office12\ONBttnIE.dll
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Program Files (x86)\ICQ7.1\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Program Files (x86)\ICQ7.1\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MIF5BA~1\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 8546 bytes

Dieser Beitrag wurde von Wiesel bearbeitet: 04. Mai 2010 - 11:23
Änderungsgrund: Wiesel: Quotebox

[Taxidriver05]

Ich weiß nicht, wer es in dem Log unterstrichen hat...

Aber genau der Eintrag

C:\Windows\Iqunya.exe

kommt mir etwas suspekt vor...

Lad die Datei mal hier hoch und lass die mal prüfen...

[DON666]

Dürfte ein Volltreffer sein. Auch die HiJackThis.de-Auswertung stuft alles andere als "gut" ein, lediglich diese "iqunya.exe" ist unbekannt. Und da sich das Ding auch noch in C:\Windows befindet, ist die Wahrscheinlichkeit doch recht hoch.

Ich würde also auf jeden Fall mal versuchen, das Ding loszuwerden. Was sagen denn die Dateieigenschaften (Details) dieser Datei aus? Ist da ein Hersteller, eine Version oder irgendwas genannt?

Du könntest das File auch mal von VirusTotal überprüfen lassen.

Sollte sich das tatsächlich als Virus entpuppen, hast du 2 Möglichkeiten:

- Kiste plätten und neu installieren
- Oder erstmal die ISO vom Avira AntiVir Rescue System ziehen, die CD brennen und damit mal den PC booten und prüfen lassen. Mit Glück erkennt der das und kann's auch entfernen. Du musst lediglich in den Optionen einstellen, dass verdächtige Files umbenannt oder gelöscht werden sollen.

EDIT; Oh, da war wohl jemand etwas schneller mit VirusTotal

Dieser Beitrag wurde von DON666 bearbeitet: 04. Mai 2010 - 11:47

[Spiderman]

Zitat (Taxidriver05: 04.05.2010, 12:38)

Aber genau der Eintrag

C:\Windows\Iqunya.exe

kommt mir etwas suspekt vor...

Nicht nur dir :-) die ist schon einmal sehr verdächtig.

Für W7 sollte man die neuste Version 2.0.4 von HijackThis verwenden: http://free.antivirus.com/hijackthis

Zitat

HijackThis version 2.0.4 is now Windows 7 compatible.

Ich bezweifele aber, dass HijackThis auf einem neuen OS wie Vista und W7 alle Schadsoftware finden kann, denn das Problem kann auch durch eine Minianwendung verursacht werden, oder Schadsoftware hat sich als unsichtbare Minianwendung installiert, oder ein Benutzer Gadget verändert.

Gruß
Spiderman

[marcelm771]

Moin bei Virus total meldet er mir 9 von 41 scanner schlagen bei der datei an! Darunter befindet sich ein Fake Alert, Malware, Virus und Fake Codec! Kann ich die Datei dann versuchen zu löschen? oder kann ich noch was anderes beschädigen?

Edit. Löschen über die Windows Funktion geht nicht! Und bei den Datei Eigenschaften steht auch kein Herausgeber der Datei!

Dieser Beitrag wurde von marcelm771 bearbeitet: 04. Mai 2010 - 11:58

[Wiesel]

Zitat (Spiderman: 04.05.2010, 12:52)

[...] Problem kann auch durch eine Minianwendung verursacht werden, oder Schadsoftware hat sich als unsichtbare Minianwendung installiert, oder ein Benutzer Gadget verändert.

Wenn ich sehe was da alles im Autostart läuft bzw gerade an ist tippe ich mal auf unlizensierte Software aus dunklen Kanälen. Und die ist nicht selten verseucht.

greets

[DON666]

Zitat (marcelm771: 04.05.2010, 11:56)

Moin bei Virus total meldet er mir 9 von 41 scanner schlagen bei der datei an! Darunter befindet sich ein Fake Alert, Malware, Virus und Fake Codec! Kann ich die Datei dann versuchen zu löschen? oder kann ich noch was anderes beschädigen?

Edit. Löschen über die Windows Funktion geht nicht! Und bei den Datei Eigenschaften steht auch kein Herausgeber der Datei!

Natürlich geht das Löschen unter laufendem Windows nicht, da dieses Programm ja (siehe HiJackThis Log) ein "running process" ist, zu Deutsch: es läuft gerade. Und laufende Programme lassen sich nun mal nicht löschen.

Wenn du es loswerden willst, mußt du von einem anderen Medium booten (siehe z. B. mein Avira-Tipp oben). Es geht natürlich auch mit einer Linux-LiveCD, da könntest du die Dateiendung (also das ".exe" auch einfach umbenennen. Damit wäre ein potenzieller Schädling auch ausgeschaltet.

[Taxidriver05]

Ich hab auch mal nach dieser Dateibezeichnung gegoogelt...

Nur gibt es da keinerlei Treffer...

[marcelm771]

Zitat

Natürlich geht das Löschen unter laufendem Windows nicht, da dieses Programm ja (siehe HiJackThis Log) ein "running process" ist, zu Deutsch: es läuft gerade. Und laufende Programme lassen sich nun mal nicht löschen.

klingt logisch! (wie peinlich)

Zitat

Wenn du es loswerden willst, mußt du von einem anderen Medium booten (siehe z. B. mein Avira-Tipp oben). Es geht natürlich auch mit einer Linux-LiveCD, da könntest du die Dateiendung (also das ".exe" auch einfach umbenennen. Damit wäre ein potenzieller Schädling auch ausgeschaltet.

Ich versuchs mal über die Ubuntu Live CD ich meld mich dann gleich nochmal obs geklappt hat!

Danke erstmal bis hierher!

[Spiderman]

Was sind das denn für 9 Scanner ?

Wenn dein Scanner die Schadsoftware nicht erkennt, kannst du ja das System nicht davon befreien, das löschen der Datei dürfte nicht viel bringen.

Das OS neu installieren ist meistens die beste/sicherste Lösung.

Zitat (Taxidriver05: 04.05.2010, 13:04)

Ich hab auch mal nach dieser Dateibezeichnung gegoogelt...

Nur gibt es da keinerlei Treffer...

Was auf einen generierten Dateinamen schließen läßt, und das die Schadsoftware eben nicht nur diese Datei ist.

AnyDVDtray.exe und VCDDaemon.exe könnten auch(wenn die nicht direkt vom Hersteller kommen) verseucht sein.

Gruß
Spiderman

Dieser Beitrag wurde von Spiderman bearbeitet: 04. Mai 2010 - 12:19

[Taxidriver05]

Zitat

Wenn dein Scanner die Schadsoftware nicht erkennt, kannst du ja das System nicht davon befreien, das löschen der Datei dürfte nicht viel bringen.

Das seh ich auch so...

Und wenn sich das Ding selbst reproduziert wird der Schaden eher noch größer...

Was zeigt der IE überhaupt für Werbung an?

[DON666]

Zitat (Spiderman: 04.05.2010, 12:07)

[...]
Das OS neu installieren ist meistens die beste/sicherste Lösung.
[...]

Wohl wahr, allerdings kann es nicht schaden, es vorher anders (LiveCD oder Avira-Tool) zu versuchen. Ich hatte damit schon bei mehreren Kisten Erfolg. Wichtig ist es halt, danach den Kasten im Auge zu behalten, da ich annehme, dass der Dateiname in diesem Fall mal wieder so ein zufällig generierter ist, und das Ding - wenn er Pech hat - nach der Säuberung unter anderer Bezeichnung wieder im Windows-Directory auftaucht. In dem Falle würde ich auch in den sauren Apfel beißen und plattmachen, denn das hieße ja, dass der "Mutterprozess" noch irgendwo werkelt.

[Wiesel]

http://winfuture.de/news,55209.html