Internet Explorer

BlackEvo · 5. Juli 2008, 07:22

Hi, ich bin neu hier und hätte eine Frage die mich schon seit langem befasst.

Bevor ich die Frage stelle will ich nur sagen wenn es im Falschen Theard ist bitte ich um verschieben.

Also ich bekomme seit ich versucht habe mein Internet Explore zu löschen immer werbung. Nicht werbung die sich in meinem Opera Browser öfnet sondern mit Internet Explore und zawar von selber. Vor der Werbung steht immer Cdi:Link Link da steht halt der Link von der Werbung. Wie ich schon mal rumgeguckt habe kann man Internet Explore nicht vom PC löschen höchstens Deaktievieren weiß aber nicht wie.
Auch wenn ich den Task-Manager öffne ist immer IEXPLORE an doch hab es garnicht offen. Und wenn ich dann im Task-Manager die anwendung beende startet sie automatisch neu.

Habe Opera 9.0, Windows XP SP2,

Bitte um antwort da ich schon sehr lange mit dem Problem Kämpfe.

MFG BlackEvo

wakiya · 5. Juli 2008, 23:30

einfachste lösung
windows cd ins LW starten und dann auf windowskomponenten installieren/deinstallieren gehen,damit sollte es funzen
oder über systemsteuerung/ Software/windowskomponenten

oder schaue mal hier

Computersicherheit - Internet Explorer

hoffe du kommst weiter.

hier noch einpaar dll die der IE benutzt

CD %SystemRoot%\system32
CACLS cdfview.dll /E /R Users
CACLS iepeers.dll /E /R Users
CACLS mshta.exe /E /R Users
CACLS mshtml.dll /E /R Users
CACLS mshtml.tlb /E /R Users
CACLS mshtmled.dll /E /R Users
CACLS mshtmler.dll /E /R Users
CACLS msieftp.dll /E /R Users
CACLS msrating.dll /E /R Users
CACLS mstime.dll /E /R Users
CACLS pngfilt.dll /E /R Users
CD %ProgramFiles%
CACLS "Internet Explorer" /T /E /R Users

mache dir daraus ein Script für User setzt du dein Benutzernamen ein

hoffe es hilft dir weiter

kannst du dein Opera nicht als Standard definieren?

gruß wakiya:drum:

BlackEvo · 6. Juli 2008, 08:06

Opera ist mein Standert Browser doch die Werbung kommt trozdem immer wieder

Ineedhelp!2nd · 6. Juli 2008, 13:36

BlackEvo schrieb:

Auch wenn ich den Task-Manager öffne ist immer IEXPLORE an doch hab es garnicht offen. Und wenn ich dann im Task-Manager die anwendung beende startet sie automatisch neu.

Das ist gar nicht gut!
Einige Backdoors patchen die IEXPLORE.EXE und starten sie immer wieder neu!

Aber mach mal zur Analyse folgendes:
Bitte den ATF-Cleaner downloaden und die temporären Dateien löschen lassen! (Select All wählen)

Dann lade dir Smitfraudfix:
Bitte genau an die Anleitung halten und den Log (C:\rapport.txt) posten!

Lasse dann Combofix laufen, auch hier strikt die Anleitung befolgen.
Bitte auch diesen Log (C:\ComboFix.txt) posten!

Mfg

wakiya · 6. Juli 2008, 14:03

@Ineedhelp!2nd
dank hatte was übersehen mit Taskmanager

also schaue in den Startoptionen dort ist etwas eingenistet.
die ieexplorer.exe wird sehr oft gefälscht bzw geschädigt.
wenn du deinen IE nicht anhast,darf dann im Taskmanerger auch nichts
erscheinen.
hast du mal versucht die IEXPLORE zu analysieren?
schaue in der Registry HKLM und HKCU in den RUN Schlüsseln
wenn dort etwas verdächtiges steht was du nicht kennst bzw installiert hast
kannst es löschen.
dann kannste dein System von einer LIVE-CD durchsuchen wo Sicherheitstools
drauf sind( brauchst nicht extra Programme installieren)und solche CD gibts ab und zu in den PC Zeitschriften

also scannen und säubern,denke auch daran auch die Wiederherstellungspunkte zu löschen,sonst kommt es immer wieder!!!

hoffe das sollte helfen,wenn nicht befolge @Ineedhelp!2nd rat

gruß wakiya:drum:

ps die Backdoors die den IE befallen haben könnten gehen nicht so tief ins System hinein.:D

BlackEvo · 6. Juli 2008, 16:03

Bei Smitfraudfix: habe ich nur gescannt wenn ich alles machen soll sag bescheid also da steht:

SmitFraudFix v2.329

Scan done at 16:00:55,75, 06.07.2008
Run from C:\Dokumente und Einstellungen\Flo\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe
C:\Programme\SimpleCenter\bin\win\sclauncher.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Steam\Steam.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Winamp Remote\bin\OrbTray.exe
C:\dokumente und einstellungen\flo\lokale einstellungen\anwendungsdaten\moygwco.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Opera\opera.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Flo

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Flo\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Flo\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Sinus 154 data II - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B6FDC55F-1F41-4046-B79B-E717332B0E3D}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B6FDC55F-1F41-4046-B79B-E717332B0E3D}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B6FDC55F-1F41-4046-B79B-E717332B0E3D}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

Und wakiya deine Methode verstehe ich nicht muss ich erhlich sagen kenne mich nicht so gut mit Computern aus kannst das vielleicht auch sagen das ich das verstehen würde ?

Ineedhelp!2nd · 6. Juli 2008, 19:07

BlackEvo schrieb:

Bei Smitfraudfix: habe ich nur gescannt wenn ich alles machen soll sag bescheid

Mach bitte auch die Reinigung (Wähle 2).

C:\Programme\Internet Explorer\iexplore.exe

Hattest du den Internet Explorer während des Scans absichtlich geöffnet?
Wenn nicht, dann ists nicht so gut!

Bitte auch noch Combofix ausführen.

Bei dem bin ich mir unsicher:

C:\dokumente und einstellungen\flo\lokale einstellungen\anwendungsdaten\moygwco.exe

Bitte bei Virustotal.com hochladen und das Ergebnis posten!
Mfg

BlackEvo · 6. Juli 2008, 20:22

Combofix geht irgendwie nicht aber bei virustotal.com ist das Ergebniss:

Datei moygwco.exe empfangen 2008.07.06 20:18:27 (CET)
Status: Beendet
Ergebnis: 5/33 (15.16%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.4.1 2008.07.05 -
AntiVir 7.8.0.64 2008.07.05 TR/Dropper.Gen
Authentium 5.1.0.4 2008.07.06 -
Avast 4.8.1195.0 2008.07.06 -
AVG 7.5.0.516 2008.07.06 -
BitDefender 7.2 2008.07.06 -
CAT-QuickHeal 9.50 2008.07.04 -
ClamAV 0.93.1 2008.07.06 -
DrWeb 4.44.0.09170 2008.07.06 Trojan.Packed.562
eSafe 7.0.17.0 2008.07.03 -
eTrust-Vet 31.6.5929 2008.07.05 -
Ewido 4.0 2008.07.06 -
F-Prot 4.4.4.56 2008.07.06 -
F-Secure 7.60.13501.0 2008.07.03 -
Fortinet 3.14.0.0 2008.07.06 -
GData 2.0.7306.1023 2008.07.06 -
Ikarus T3.1.1.26.0 2008.07.06 Trojan.Win32.Skintrim.B
Kaspersky 7.0.0.125 2008.07.06 -
McAfee 5332 2008.07.04 -
Microsoft 1.3704 2008.07.06 Trojan:Win32/Skintrim.B
NOD32v2 3244 2008.07.05 -
Norman 5.80.02 2008.07.04 -
Panda 9.0.0.4 2008.07.06 -
Prevx1 V2 2008.07.06 -
Rising 20.51.60.00 2008.07.06 -
Sophos 4.31.0 2008.07.06 -
Sunbelt 3.1.1509.1 2008.07.04 -
Symantec 10 2008.07.06 -
TheHacker 6.2.96.373 2008.07.05 -
TrendMicro 8.700.0.1004 2008.07.05 -
VBA32 3.12.6.8 2008.07.06 -
VirusBuster 4.5.11.0 2008.07.06 -
Webwasher-Gateway 6.6.2 2008.07.05 Trojan.Dropper.Gen

Ineedhelp!2nd · 7. Juli 2008, 10:13

Ok, mache mit Smitfraudfix eine Reinigung (wähle "2") und poste das neue Log!

Lade dir dann Malwarebytes' Anti-Malware, installiere das Programm, führe ein Update durch, mache einen Komplettscan und lasse alles gefundene löschen!
Poste ausserdem das Log!

Mfg

BlackEvo · 7. Juli 2008, 14:16

Mit SmitfraudFix Methode 2:

SmitFraudFix v2.329

Scan done at 13:25:10,89, 07.07.2008
Run from C:\Dokumente und Einstellungen\Flo\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Sinus 154 data II - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B6FDC55F-1F41-4046-B79B-E717332B0E3D}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B6FDC55F-1F41-4046-B79B-E717332B0E3D}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B6FDC55F-1F41-4046-B79B-E717332B0E3D}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

Scann:

Malwarebytes' Anti-Malware 1.19
Datenbank Version: 929
Windows 5.1.2600 Service Pack 2

14:15:36 07.07.2008
mbam-log-7-7-2008 (14-15-36).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 100861
Scan Dauer: 25 minute(s), 59 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.

Ineedhelp!2nd · 7. Juli 2008, 15:57

Was für ein Fehler kommt denn bei Combofix?

Bitte mache nun folgendes:

Lade dir den MD5-Checker.
Suche über die Windowssuche alle "iexplore.exe" auf deinem PC (Start-->Suchen) Bitte auch versteckte Elemente durchsuchen lassen
Starte den MD5-Checker, klicke aud den Button ("---") oben rechts und suche nacheinander alle "iexplore.exe", welche zuvor gefunden wurden.
Klicke dann auf "MD5 List to Text File" und poste das Log.

Schliesse dann alle Programme (auch IE und Firefox/Opera) und mache ein Hijackthis-Logfile

Bestehen die Probleme mit der Werbung noch?

Mfg

BlackEvo · 7. Juli 2008, 17:38

Die schritte kann ich nicht ausfüheren:

Starte den MD5-Checker, klicke aud den Button ("---") oben rechts und suche nacheinander alle "iexplore.exe", welche zuvor gefunden wurden.
Klicke dann auf "MD5 List to Text File" und poste das Log.

Ich finde den Button ("---") nicht und wo soll ich Klicken "MD5 List to Text File".
Gesucht hab ich schon aber ahlt wusste ich nicht wo die Button sind bitte um Scrennshot.

Und das Problem mit der Werbung besteht weiter.

Was nun ?

Ineedhelp!2nd · 7. Juli 2008, 18:43

BlackEvo schrieb:

Was nun ?

EDIT:
SRY, ich hab den falschen Link angegeben, klar das der Button nicht da ist, hier der richtige Link:
George Jopling - MD5 Checker

Also, mal bebildert:

Wenn es immer noch nicht gehen sollte, dann mache bitte unten weiter!

Und das Problem mit der Werbung besteht weiter.

OkLade bitte alle gefundenen iexplore.exe auf Virustotal.com rauf und poste alle Logs!

mir schrieb:

Was für ein Fehler kommt denn bei Combofix?

Na?

BTW: Hijackthis-Log brauche ich auch noch.

Mfg

BlackEvo · 7. Juli 2008, 20:34

Also erst denn Log von MD5:

File Name MD5

IEXPLORE.EXE-2CA9778D.pf 3B5487F0A565E666C57A4160F51B56C8

*******************************************************************************
* Generated by MD5 Checker. A freeware file MD5 utility program *
* Available from George Jopling *
* *
*******************************************************************************

So jetzt von hijack.... :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:32:08, on 07.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe
C:\Programme\SimpleCenter\bin\win\sclauncher.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Winamp Remote\bin\OrbTray.exe
C:\dokumente und einstellungen\flo\lokale einstellungen\anwendungsdaten\kccyuqe.exe
C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Seafight.com ? Online Piraten Game, Multiplayer Action im Browsergame
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [axis web cake second] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Book Slow Axis Web\meal tool.exe
O4 - HKLM\..\Run: [NSLauncher] C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKLM\..\Run: [sclauncher] C:\Programme\SimpleCenter\bin\win\sclauncher.exe
O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_2008_e-version\TrayServer.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Two Extra Cool Meet] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DEFY NURB TWO EXTRA\DASH EQ.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Blehplus] C:\DOKUME~1\Flo\ANWEND~1\procrect\Jump Cake.exe
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [CryptLoad] C:\DOKUME~1\Flo\LOKALE~1\Temp\Rar$EX75.781\CryptLoad_1.0.3\RouterClient.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [kccyuqe] c:\dokumente und einstellungen\flo\lokale einstellungen\anwendungsdaten\kccyuqe.exe kccyuqe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7258 bytes

So jetzt gucke ich ersmal ob das Problem noch da ist wenn ja mache ich naher den nächsten schritt

So das Probelme besteht immer noch.

Log von der IEXPLORE.EXE

Datei IEXPLORE.EXE-2CA9778D.pf empfangen 2008.07.07 20:41:16 (CET)
Status: Beendet
Ergebnis: 0/33 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.8.0 2008.07.07 -
AntiVir 7.8.0.64 2008.07.07 -
Authentium 5.1.0.4 2008.07.06 -
Avast 4.8.1195.0 2008.07.07 -
AVG 7.5.0.516 2008.07.07 -
BitDefender 7.2 2008.07.07 -
CAT-QuickHeal 9.50 2008.07.07 -
ClamAV 0.93.1 2008.07.07 -
DrWeb 4.44.0.09170 2008.07.07 -
eSafe 7.0.17.0 2008.07.07 -
eTrust-Vet 31.6.5929 2008.07.05 -
Ewido 4.0 2008.07.07 -
F-Prot 4.4.4.56 2008.07.06 -
F-Secure 7.60.13501.0 2008.07.03 -
Fortinet 3.14.0.0 2008.07.07 -
GData 2.0.7306.1023 2008.07.07 -
Ikarus T3.1.1.26.0 2008.07.07 -
Kaspersky 7.0.0.125 2008.07.07 -
McAfee 5333 2008.07.07 -
Microsoft 1.3704 2008.07.07 -
NOD32v2 3247 2008.07.07 -
Norman 5.80.02 2008.07.07 -
Panda 9.0.0.4 2008.07.07 -
Prevx1 V2 2008.07.07 -
Rising 20.51.60.00 2008.07.06 -
Sophos 4.31.0 2008.07.07 -
Sunbelt 3.1.1509.1 2008.07.04 -
Symantec 10 2008.07.07 -
TheHacker 6.2.96.374 2008.07.07 -
TrendMicro 8.700.0.1004 2008.07.07 -
VBA32 3.12.6.8 2008.07.07 -
VirusBuster 4.5.11.0 2008.07.07 -
Webwasher-Gateway 6.6.2 2008.07.07 -

So das mit Combofix muss ich auch das mit der Wiederherstell konsole machen ?

//edit: Keine Doppelposts bitte! Rules lesen!
mfg
Imperator

wakiya · 8. Juli 2008, 02:41

so habe mir mal das log file angesehen man o man was bei dir so alles
mitstartet

also dieses würde ich von Hand und im abgesicherten Modus (f8 beim starten drücken) löschen

C:\dokumente und einstellungen\flo\lokale einstellungen\anwendungsdaten\kccyuqe.exe

O4 - HKLM\..\Run: [axis web cake second] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Book Slow Axis Web\meal tool.exe

O4 - HKLM\..\Run: [Two Extra Cool Meet] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DEFY NURB TWO EXTRA\DASH EQ.exe

O4 - HKCU\..\Run: [Blehplus] C:\DOKUME~1\Flo\ANWEND~1\procrect\Jump Cake.exe

O4 - HKCU\..\Run: [kccyuqe] c:\dokumente und einstellungen\flo\lokale einstellungen\anwendungsdaten\kccyuqe.exe kccyuqe

HKLM ist Hkey Local Machine\Software\Microsoft\Windows\CurrentVersion\Run

HKCU ist HkeyCurrent User\Software\Microsoft\Windows\CurrentVersion\Run

dies sind die wege in der registry.

und wenn du schon im abgesicherten Modus bist,kannste gleich eine Datenträgerbereinigung machen ( CCleaner)
dann kontrollierst du alle Temp Ordner
C:\dokumente und einstellungen\flo\lokale einstellungen\Temp oder Temporary Internet etc und löscht alle deine Systemwiederherstellungspunkte
dann wenn das alles erledigt ist kannste den pc neu starten
damit sollte dein Maleware problem gelöst sein

gruß wakiya:drum:

Arwen · 8. Juli 2008, 12:26

Hallo Black-Evo!

Wenn Dein Computer mit einem Windows Betriebssystem arbeitet, und dem ist ja so, darfst Du nicht den Internet-Explorer deinstallieren! Das System benötigt diesen für die Sicherheitsupdates!

LG
Arwen

Ineedhelp!2nd · 8. Juli 2008, 14:15

BlackEvo schrieb:

IEXPLORE.EXE-2CA9778D.pf 3B5487F0A565E666C57A4160F51B56C8

Es kann nicht sein, dass diese IEXPLORE.EXE-2CA9778D.pf, welche im Ordner \Prefetch liegt und nur ne Sicherungskopie ist, die einzige auf deinem System ist.
Eine hat es sicher noch unter C:\Programme\Internet Explorer.
Also bitte noch mal alles durchsuchen:

So jetzt von hijack.... :

Während dem du HJT ausgeführt hast, war der IE definitiv geschlossen oder hast du ihn gerade benutzt?

Bevor du Combofix ausführst, bitte alle diese Dateien auf Virustotal.com hochladen:

Quellcode

C:\Programme\Internet Explorer\iexplore.exe
C:\dokumente und einstellungen\flo\lokale einstellungen\anwendungsdaten\kccyuqe.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Book Slow Axis Web\meal tool.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DEFY NURB TWO EXTRA\DASH EQ.exe
C:\DOKUME~1\Flo\ANWEND~1\procrect\Jump Cake.exe

Anm: kopiere bei Virustotal einfach den Pfad rein, dann must du die Dateien nicht suchen.

So das mit Combofix muss ich auch das mit der Wiederherstell konsole machen ?

Ja, mache dies bitte gemäss dieser Anleitung.
Bitte den Log posten.

Wenn Dein Computer mit einem Windows Betriebssystem arbeitet, und dem ist ja so, darfst Du nicht den Internet-Explorer deinstallieren! Das System benötigt diesen für die Sicherheitsupdates!

Aus diesem Grund kann er auch nicht auf normalem Weg deinstalliert werden.

Mfg

BlackEvo · 9. Juli 2008, 11:05

Em.. bevor ich das mache kann ich vielleicht nicht lieber das machen :

1. Windows neu instalieren (nicht Formatieren)

oder

2. Formatieren

Sabina · 9. Juli 2008, 13:31

Hallo,BlackEvo

auf dem Rechner ist u.a. der Cid/Swizzor - und eine navi-Verseuchung.

+
navilog anwenden - Option 1 - dann zum Entfernen der Viren - Option 2 (poste hier den Report von Option2)
Navilog

«
Es reicht, dass du dann die 4 Punkte von dieser Seite abarbeitest
LOP/CID Killer - cid-uninstaller - zedo uninstall

dann berichte, ob die Popups weg sind.

Mfg
Sabina

BlackEvo · 9. Juli 2008, 18:41

navilog Option 2 Log :

Navipromo Removal version 3.6.0 started on 09.07.2008 at 18:34:40,45

Fix running from C:\Programme\navilog1
Actual User Account : "Flo"

Updated on 27.06.2008 at 23h00 by IL-MAFIOSO

Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Filesystem type : NTFS

Automatic removal
with Catchme and GNS results

Cleanning stage done on Reboot

*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)

*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\WINDOWS\System32" *

* Deletion in "C:\Dokumente und Einstellungen\Flo\lokale~1\anwend~1" *

Other Deletions :

kccyuqe.exe found !
Copy kccyuqe.exe done !
kccyuqe.exe deleted !

kccyuqe.dat found !
Copy kccyuqe.dat done !
kccyuqe.dat deleted !

kccyuqe_nav.dat found !
Copy kccyuqe_nav.dat done !
kccyuqe_nav.dat deleted !

kccyuqe_navps.dat found !
Copy kccyuqe_navps.dat done !
kccyuqe_navps.dat deleted !

C:\WINDOWS\prefetch\kccyuqe*.pf found !
Copy C:\WINDOWS\prefetch\kccyuqe*.pf done !
C:\WINDOWS\prefetch\kccyuqe*.pf deleted !

*** Deleting folders in "C:\WINDOWS" ***

*** Deleting folders in "C:\Programme" ***

*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***

*** Deleting folders in "c:\dokume~1\alluse~1\startm~1\progra~1" ***

*** Deleting folders in "C:\Dokumente und Einstellungen\Flo\anwend~1" ***

*** Deleting folders in "C:\Dokumente und Einstellungen\Flo\lokale~1\anwend~1" ***

*** Deleting folders in "C:\Dokumente und Einstellungen\Flo\startm~1\progra~1" ***

*** Deleting files ***

*** Deleting temporary files ***

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\Flo\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :

* In "C:\WINDOWS\system32" *

* In "C:\Dokumente und Einstellungen\Flo\lokale~1\anwend~1" *

*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned

*** Certificates ***

Egroup Certificate deleted !
Electronic-Group Certificate deleted !
OOO-Favorit Certificate deleted !
Sunny-Day-Design-Ltd Certificate not found !

*** Cleaning stage complete on 09.07.2008 at 18:37:07,37 ***

BlackEvo · 9. Juli 2008, 21:42

Sabina und Ineedhelp!2nd Danke Danke Danke problem ist weg mit Sabinas Methode aber Ineedhelp!2nd du hast so viel Zeit in mich inwestiert und mir immer geholfen einfach Danke an alll.

Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke

Imperator · 12. Juli 2008, 13:45

Präfix?

- closed -

mfg
Imperator

Quellcode

Teilen