Internet Explorer Öffnet Selbständig Werbefenster!
#1
geschrieben 04. Mai 2010 - 10:29
MS Windows 7 Hp 64bit
Standardbrowser ist Mozilla Firefox 3.6.4
Vielen Dank schonmal im vorraus!
Gruß
marcel
Anzeige
#2
geschrieben 04. Mai 2010 - 10:55
Ich bin mir fast zu 100% sicher, dass da irgendein Mist sein Unwesen auf deiner Kiste treibt.
Queens Of The Stone Age
Fu Manchu
Napalm Death
Liar
Grim Tales... ^^
SysProfile
"Is my cock big enough,
is my brain small enough
for you to make me a star?"
(Jello Biafra "Pull My Strings")
#3
geschrieben 04. Mai 2010 - 11:13
Scan saved at 12:08:27, on 04.05.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal
Running processes:
C:\Program Files (x86)\SlySoft\AnyDVD\AnyDVDtray.exe
C:\Program Files (x86)\Common Files\ACD Systems\EN\DevDetect.exe
C:\Program Files (x86)\Microsoft Office\Office12\ONENOTEM.EXE
C:\Program Files (x86)\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Program Files (x86)\Brother\Brmfcmon\BrMfcWnd.exe
C:\Program Files (x86)\iTunes\iTunesHelper.exe
C:\Program Files (x86)\Brother\ControlCenter3\brccMCtl.exe
C:\Program Files (x86)\Brother\Brmfcmon\BrMfcmon.exe
C:\Program Files (x86)\Internet Explorer\IELowutil.exe
C:\Program Files (x86)\uTorrent\uTorrent.exe
C:\Windows\Iqunya.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe,C:\Windows\system32\sdra64.exe,
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Corel Photo Downloader] C:\Program Files (x86)\Corel\Corel Snapfire\PhotoDownloader.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files (x86)\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files (x86)\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files (x86)\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files (x86)\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKCU\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKCU\..\Run: [ICQ] "C:\Program Files (x86)\ICQ7.1\ICQ.exe" silent loginmode=4
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Program Files (x86)\Microsoft Office\Office12\ONENOTEM.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MIF5BA~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MIF5BA~1\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MIF5BA~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MIF5BA~1\Office12\ONBttnIE.dll
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Program Files (x86)\ICQ7.1\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Program Files (x86)\ICQ7.1\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MIF5BA~1\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
--
End of file - 8546 bytes
Dieser Beitrag wurde von Wiesel bearbeitet: 04. Mai 2010 - 11:23
Änderungsgrund: Wiesel: Quotebox
#4
geschrieben 04. Mai 2010 - 11:38
Aber genau der Eintrag
C:\Windows\Iqunya.exe
kommt mir etwas suspekt vor...
Lad die Datei mal hier hoch und lass die mal prüfen...
"Himmlische Ruhe und tödliche Stille haben dieselbe Phonzahl."
My Music
#5
geschrieben 04. Mai 2010 - 11:46
Ich würde also auf jeden Fall mal versuchen, das Ding loszuwerden. Was sagen denn die Dateieigenschaften (Details) dieser Datei aus? Ist da ein Hersteller, eine Version oder irgendwas genannt?
Du könntest das File auch mal von VirusTotal überprüfen lassen.
Sollte sich das tatsächlich als Virus entpuppen, hast du 2 Möglichkeiten:
- Kiste plätten und neu installieren
- Oder erstmal die ISO vom Avira AntiVir Rescue System ziehen, die CD brennen und damit mal den PC booten und prüfen lassen. Mit Glück erkennt der das und kann's auch entfernen. Du musst lediglich in den Optionen einstellen, dass verdächtige Files umbenannt oder gelöscht werden sollen.
EDIT; Oh, da war wohl jemand etwas schneller mit VirusTotal
Dieser Beitrag wurde von DON666 bearbeitet: 04. Mai 2010 - 11:47
Queens Of The Stone Age
Fu Manchu
Napalm Death
Liar
Grim Tales... ^^
SysProfile
"Is my cock big enough,
is my brain small enough
for you to make me a star?"
(Jello Biafra "Pull My Strings")
#6
geschrieben 04. Mai 2010 - 11:52
Zitat (Taxidriver05: 04.05.2010, 12:38)
C:\Windows\Iqunya.exe
kommt mir etwas suspekt vor...
Nicht nur dir :-) die ist schon einmal sehr verdächtig.
Für W7 sollte man die neuste Version 2.0.4 von HijackThis verwenden: http://free.antivirus.com/hijackthis
Zitat
Ich bezweifele aber, dass HijackThis auf einem neuen OS wie Vista und W7 alle Schadsoftware finden kann, denn das Problem kann auch durch eine Minianwendung verursacht werden, oder Schadsoftware hat sich als unsichtbare Minianwendung installiert, oder ein Benutzer Gadget verändert.
Gruß
Spiderman
#7
geschrieben 04. Mai 2010 - 11:56
Edit. Löschen über die Windows Funktion geht nicht! Und bei den Datei Eigenschaften steht auch kein Herausgeber der Datei!
Dieser Beitrag wurde von marcelm771 bearbeitet: 04. Mai 2010 - 11:58
#8
geschrieben 04. Mai 2010 - 11:59
Zitat (Spiderman: 04.05.2010, 12:52)
Wenn ich sehe was da alles im Autostart läuft bzw gerade an ist tippe ich mal auf unlizensierte Software aus dunklen Kanälen. Und die ist nicht selten verseucht.
greets
#9
geschrieben 04. Mai 2010 - 12:04
Zitat (marcelm771: 04.05.2010, 11:56)
Edit. Löschen über die Windows Funktion geht nicht! Und bei den Datei Eigenschaften steht auch kein Herausgeber der Datei!
Natürlich geht das Löschen unter laufendem Windows nicht, da dieses Programm ja (siehe HiJackThis Log) ein "running process" ist, zu Deutsch: es läuft gerade. Und laufende Programme lassen sich nun mal nicht löschen.
Wenn du es loswerden willst, mußt du von einem anderen Medium booten (siehe z. B. mein Avira-Tipp oben). Es geht natürlich auch mit einer Linux-LiveCD, da könntest du die Dateiendung (also das ".exe" auch einfach umbenennen. Damit wäre ein potenzieller Schädling auch ausgeschaltet.
Queens Of The Stone Age
Fu Manchu
Napalm Death
Liar
Grim Tales... ^^
SysProfile
"Is my cock big enough,
is my brain small enough
for you to make me a star?"
(Jello Biafra "Pull My Strings")
#10
geschrieben 04. Mai 2010 - 12:04
Nur gibt es da keinerlei Treffer...
"Himmlische Ruhe und tödliche Stille haben dieselbe Phonzahl."
My Music
#11
geschrieben 04. Mai 2010 - 12:07
Zitat
Zitat
Ich versuchs mal über die Ubuntu Live CD ich meld mich dann gleich nochmal obs geklappt hat!
Danke erstmal bis hierher!
#12
geschrieben 04. Mai 2010 - 12:07
Wenn dein Scanner die Schadsoftware nicht erkennt, kannst du ja das System nicht davon befreien, das löschen der Datei dürfte nicht viel bringen.
Das OS neu installieren ist meistens die beste/sicherste Lösung.
Zitat (Taxidriver05: 04.05.2010, 13:04)
Nur gibt es da keinerlei Treffer...
Was auf einen generierten Dateinamen schließen läßt, und das die Schadsoftware eben nicht nur diese Datei ist.
AnyDVDtray.exe und VCDDaemon.exe könnten auch(wenn die nicht direkt vom Hersteller kommen) verseucht sein.
Gruß
Spiderman
Dieser Beitrag wurde von Spiderman bearbeitet: 04. Mai 2010 - 12:19
#13
geschrieben 04. Mai 2010 - 12:10
Zitat
Das seh ich auch so...
Und wenn sich das Ding selbst reproduziert wird der Schaden eher noch größer...
Was zeigt der IE überhaupt für Werbung an?
"Himmlische Ruhe und tödliche Stille haben dieselbe Phonzahl."
My Music
#14
geschrieben 04. Mai 2010 - 12:13
Zitat (Spiderman: 04.05.2010, 12:07)
Das OS neu installieren ist meistens die beste/sicherste Lösung.
[...]
Wohl wahr, allerdings kann es nicht schaden, es vorher anders (LiveCD oder Avira-Tool) zu versuchen. Ich hatte damit schon bei mehreren Kisten Erfolg. Wichtig ist es halt, danach den Kasten im Auge zu behalten, da ich annehme, dass der Dateiname in diesem Fall mal wieder so ein zufällig generierter ist, und das Ding - wenn er Pech hat - nach der Säuberung unter anderer Bezeichnung wieder im Windows-Directory auftaucht. In dem Falle würde ich auch in den sauren Apfel beißen und plattmachen, denn das hieße ja, dass der "Mutterprozess" noch irgendwo werkelt.
Queens Of The Stone Age
Fu Manchu
Napalm Death
Liar
Grim Tales... ^^
SysProfile
"Is my cock big enough,
is my brain small enough
for you to make me a star?"
(Jello Biafra "Pull My Strings")
- ← Nach Virenbeseitigung Startet Explorer Nicht Mehr
- Sicherheit
- Microsoft Forefront Client Security Update Funktioniert Nicht →