[--==Stoned==--]

hi bei mir öffnet sich firefox ständg selbst und läd solche seiten

http://www.winantivirus.com/?mpt=115895138...;aid=mgwvcacg14

http://www.yourtruth...1448101085.html

hab xpsp2 + firewall mcaffe und antivira was soll das bzw wie bekomme ichs weg?

Dieser Beitrag wurde von --==Stoned==-- bearbeitet: 22. September 2006 - 20:00

[lwa]

Zitat (--==Stoned==--: 22.09.2006, 20:57)

hi bei mir öffnet sich firefox ständg selbst und läd solche seiten

http://www.winantivirus.com/?mpt=115895138...;aid=mgwvcacg14

hab xpsp2 + firewall mcaffe und antivira was soll das bzw wie bekomme ichs weg?

Suche nach:

hijackthis + adaware

[Urne]

Mach mal ein Hijackthis Logfile und häng die Textdatei hier als Anhang ran.

[--==Stoned==--]

hier:



Logfile of HijackThis v1.99.1
Scan saved at 21:04:27, on 22.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\rundll32.exe
D:\WINDOWS\Explorer.EXE
c:\PROGRA~1\NETWOR~2\MCAFEE~1\FireSvc.exe
D:\Programme\Network Associates\Common Framework\FrameworkService.exe
D:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Programme\[Regeln beachten!]s\[Regeln beachten!].exe
D:\Programme\Network Associates\Common Framework\UpdaterUI.exe
D:\WINDOWS\system32\devldr32.exe
D:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\PROGRA~1\NETWOR~2\MCAFEE~1\Firetray.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
D:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\eMule\eMule.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\uTorrent\uTorrent.exe
C:\Programme\Trillian\trillian.exe
G:\Downloads\winfuture.de_winxpsp2_updatepack_v2.14.exe
D:\WINDOWS\TEMP\7zSD.tmp\Setup.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\WinRAR\WinRAR.exe
D:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.515\HijackThis.exe
D:\WINDOWS\TEMP\7zSD.tmp\Data\WindowsXP-KB919007-x86-DEU.exe
D:\WINDOWS\TEMP\7zS1E1.tmp\update\update.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.co...earch_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] c:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "D:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [NVMixerTray] "D:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] D:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [[Regeln beachten!]s] "D:\Programme\[Regeln beachten!]s\[Regeln beachten!].exe" -lang 1033
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "D:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "D:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [McAfeeFireTray] c:\PROGRA~1\NETWOR~2\MCAFEE~1\Firetray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://H:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: Explorer - D:\WINDOWS\system32\t48ulel91hq.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: McAfee Desktop Firewall Service (FireSvc) - Networks Associates Technology, Inc. - c:\PROGRA~1\NETWOR~2\MCAFEE~1\FireSvc.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - D:\Programme\Network Associates\Common Framework\FrameworkService.exe" /ServiceStart (file missing)
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe

[Urne]

Ach das ist doch Mist. Häng die Textdatei des Logfiles an, oder werte es selber aus auf http://www.hijackthis.de/

[sn00b]

Zitat

O20 - Winlogon Notify: Explorer - D:\WINDOWS\system32\t48ulel91hq.dll Unbekannt

das sieht aufjedenfall BÖSE aus würd ich fixen!

Zitat

D:\WINDOWS\TEMP\7zSD.tmp\Data\WindowsXP-KB919007-x86-DEU.exe Mit einem Antivirenscanner prüfen Unbekannt
Unbekannt Laufender Prozess. (WindowsXP-KB919007-x86-DEU.exe)

Es liegt noch keine Besucherbewertung vor! Dies ist ein unbekannter Prozess.

und das finde ich sehr merkwürdig, hast du gerade ein winupdate laufen? wenn nicht sieht das auch nicht gut aus!

lwa, hat ja auch einiges gefunden, ich glaube das sieht nicht wirklich gut aus.


EDIT:
DAS WAR MEIN POST NR.1000, UND ICH HABS NICH MA MITBEKOMMEN!

Dieser Beitrag wurde von Master.Max bearbeitet: 22. September 2006 - 21:05

[lwa]

Finde diese auffällig:

O20 - Winlogon Notify: Explorer - D:\WINDOWS\system32\t48ulel91hq.dll


Vor allem Prozesse die aus einem TEMP ordner laufen! (Laufen die auch nach einem Neustart?)

D:\WINDOWS\TEMP\7zSD.tmp\Data\WindowsXP-KB919007-x86-DEU.exe
D:\WINDOWS\TEMP\7zSD.tmp\Setup.exe


D:\WINDOWS\TEMP\7zS1E1.tmp\update\update.exe

Edit
Wenn ich etwas vergessen habe bitte ergänzen.
Edit2
überabeitet

Dieser Beitrag wurde von lwa bearbeitet: 22. September 2006 - 20:28

[--==Stoned==--]

das ist das winfututre updatePack^^

D:\WINDOWS\system32\t48ulel91hq.dll geht nich zu fixen dll kann ich auch net finden im ordner...

Dieser Beitrag wurde von --==Stoned==-- bearbeitet: 22. September 2006 - 20:25

[sn00b]

@lwa

stimme da mit dir über ein, bis auf deinen ersten, der sieht mir stark nach dae***tool aus, deshalb auch regeln beachten.

Zitat

das ist das winfututre updatePack^^

läuft das update pack gerade?
aufjedenfall die, O20
probiers mal im abgesicherten modus!
danach neu scannen, wenns wieder da ist wirds komplizierter!

Dieser Beitrag wurde von Master.Max bearbeitet: 22. September 2006 - 20:29

[lwa]

Zitat (Master.Max: 22.09.2006, 21:25)

@lwa

stimme da mit dir über ein, bis auf deinen ersten, der sieht mir stark nach dae***tool aus, deshalb auch regeln beachten.

Lach - stimmt habe ich von gelesen @ Forenregeln...

[--==Stoned==--]

kann O20 nicht löschen auch nicht die daten aus der registry und auch nicht im abgesicherten modus

[sn00b]

start->ausführen->msconfig->systemstart
schau da mal nach ob etwas verdächtiges drinn ist!
zur not kannst du dort alles deaktivieren!

start->ausführen->msconfig->Dienste (unten den haken bei 'Alle Microsoft-Dienste ausblenden' setzen)
hier ebenfalls schauen ob es verdächtiges gibt!
und deaktivieren!

du kannst auch mal ewido oder ad-awere drüberlaufen lassen!

[--==Stoned==--]

hab ewido durchlaufen lassen 150 probleme alle gelöscht

jetz hab ich es wieder gestartet und hab schon wieder 2 probleme

Bedrohung: Mittel
Name: Adware.look2me

[sn00b]

hast du dir das mal durch gelesen?

das ist auch interessant!

Dieser Beitrag wurde von Master.Max bearbeitet: 23. September 2006 - 14:57

[--==Stoned==--]

danke durch das removle tool is er weg dank euch^^