Win XP: Internet Explorer öffnet sich automatisch mit Werbung

Wer heutzutage noch mit IE6 surft ist selber Schuld. Die Version 8 gibt es nicht ohne Grund.

 

alles klar mach ich danke

ja ich benutzte nur firefox, und IE gar nicht, deswegen war mir der bisher immer ziemlich egal 

der IE muß up to Date sein, egal ob du ihn nutzt oder nicht...für die Zukunft (momentan noch nichts daran ändern..wird nichts bringen)

IE sitzt zu tief in Windows, als dass du ihn "nicht nutzen" könntest. Der ist immer i-wo dabei, ob's nun beim Updates runterladen oder sonstwo  ist.

So ist jetzt fertig, hat auch einiges gefunden...
Wie gehts jetzt weiter?

Hier der Report:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3510
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

30.01.2010 15:12:36
mbam-log-2010-01-30 (15-12-36).txt

Scan-Methode: Vollständiger Scan (D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|M:\|)
Durchsuchte Objekte: 265028
Laufzeit: 1 hour(s), 18 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
I:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
I:\Dokumente und Einstellungen\Mama u. Papa\Anwendungsdaten\addons.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
I:\WINDOWS\explorer.backup (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
I:\Programme\ICQToolbar\toolbaru.dll (Trojan.BHO) -> Quarantined and deleted successfully.
 

Neustart..System testen.
wenn ok IE8 downloaden und ein neues Hijack.log posten.

Vor dem Neustart bitte die Systemwiederherstellung deaktivieren, sonst war alles für die Katz

das mit der systemwiederherstellung habe ich natürlich nicht mehr gelesen

muss ich jetzt malware nochmal durchlaufen lassen?^^

das system dann nochmal mit hijack testen oder mit mcafee?

..wie läuft den dein System überhaupt?
das mit dem löschen der Wiederherstellungspunkte mache ich immer erst wenn das System läuft (ist aber Ansicht und Meinungssache).
wenn das System läuft lösche alle und erstelle einen neuen/Neustart
ansonsten alles von vorne und Carpenters Tipp befolgen.

ok bin leicht verwirrt

wie meinste das mit: wie mein system läuft?

ganz normal denke ich,setzt automatisch wiederherstellugnspunkte.

aber da ich vergessen hatte die systemwiederherstellung zu deaktivieren, muss ich sowieso nochmal alles neu machen

was ist den mit den Werbeseiten..

so also ist jetzt nochmal durchgelaufen, habe dann neustart gemacht (vorher die systemsteuerung deaktiviert^^)
jetzt das system testen?! mit was denn? mit meinem virusprogramm oder mit malware nochmal komplett scannen?
oder nur mit hijack? 

..öffnet sich der IE immer noch automatisch mit Werbung?
das meine ich mit testen.

also bisher noch nicht, aber ich ahtte ja leider auch schon, dass sich das ding 4stunden lang nicht geöffnet hatte und dann als ich runterfahren wollte kam kurz vorher doch nochmal was

..na dann warten wir es ab..ansonsten würde ich neuinstallieren und vorher nichts von dem alten sichern.
Ist der IE8 jetzt installiert?  

jut dann mache ich heute erstmal nix mehr und beobachte einfach nur und wenn heute nichts mehr kommt, dann installiere ich morgen IE 8 und poste nochmal einen Hijack.log
Aber auf jedenfall schonmal ein großes Dankeschön

No!
Du installierst gleich den IE8 und beobachtest (hast du nichts gelernt?)
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=341c2ad5-8c3d-4347-8c03-08cdecd8852b
und zwar von dem Link.

ja habe mich falsch ausgedrückt, das hatte ich schon gemacht^^
 

Installiere den IE8, und dann mache folgendes:

Zuerst Systemwiederherstellung deaktivieren!!!

Jetzt im "Abgesicherten Modus" starten. Danach Start->Ausführen-> regedit <eingeben und ok. Nun zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run navigieren und die unbekannten Schlüssel zu unbekannten Programmen löschen.

Danach zu HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run und ebenfalls schauen und die unbekannten Schlüssel zu unbekannten Einträgen ebenfalls löschen.
Editor schließen.

Dann Start->Ausführen-> msconfig < eingeben und ok. Im Reiter Systemstart nach unbekannten Einträgen suchen. Haken rausmachen.
Neustarten.

Jetzt die zuvor von einem anderen PC geladene Software -> http://freedrweb.com/cureit/
installieren und Komplettscan nach dem Schnellscan ausführen.

Melden, was jetzt geht.

so also habe das mit dem abgesicherten modus gemacht, aber gab keine unbekannten schlüssel

ansonten kam bisher keine werbung mehr und auch sonst keine probleme

hier trotzdem nochmal ein hijack.log :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:39:23, on 30.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\nvsvc32.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
I:\Programme\ICQ6Toolbar\ICQ Service.exe
I:\Programme\Java\jre6\bin\jqs.exe
I:\Programme\McAfee\SiteAdvisor\McSACore.exe
I:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
i:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
i:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
I:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
I:\Programme\McAfee\MPF\MPFSrv.exe
I:\WINDOWS\Explorer.EXE
I:\Programme\McAfee\MSK\MskSrver.exe
I:\DOKUME~1\David\LOKALE~1\Temp\Zv1.exe
i:\PROGRA~1\mcafee.com\agent\mcagent.exe
I:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
I:\Programme\CyberLink\PowerDVD DX\PDVDDXSrv.exe
I:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
I:\WINDOWS\System32\DLA\DLACTRLW.EXE
I:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe
I:\Programme\pdf24\PDFBackend.exe
I:\WINDOWS\system32\PnkBstrA.exe
I:\WINDOWS\system32\svchost.exe
I:\Programme\McAfee\MBK\McAfeeDataBackup.exe
I:\WINDOWS\stsystra.exe
I:\Programme\Windows Live\Messenger\MsnMsgr.Exe
I:\Programme\Messenger\msmsgs.exe
I:\WINDOWS\system32\wuauclt.exe
I:\Programme\DAEMON Tools Lite\daemon.exe
I:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
I:\WINDOWS\system32\ctfmon.exe
I:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
I:\Programme\Mozilla Firefox\firefox.exe
I:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
I:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - I:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - i:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - I:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - i:\PROGRA~1\mcafee\msk\mskapbho.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - I:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - I:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - I:\Programme\McAfee\VirusScan\scriptsn.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - I:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - i:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - I:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - I:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - I:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - I:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - i:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [IAAnotif] I:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
O4 - HKLM\..\Run: [PDVDDXSrv] "I:\Programme\CyberLink\PowerDVD DX\PDVDDXSrv.exe"
O4 - HKLM\..\Run: [DLA] I:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [QuickTime Task] "I:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] I:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [XboxStat] "I:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKLM\..\Run: [PDFPrint] "I:\Programme\pdf24\PDFBackend.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "I:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "I:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [mcagent_exe] "I:\Programme\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [McENUI] I:\PROGRA~1\McAfee\MHN\McENUI.exe /hide
O4 - HKLM\..\Run: [McAfee Backup] "I:\Programme\McAfee\MBK\McAfeeDataBackup.exe"
O4 - HKLM\..\Run: [nwiz] I:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKCU\..\Run: [MsnMsgr] "I:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "I:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "I:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "I:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [BMIMZMHMFM] I:\DOKUME~1\David\LOKALE~1\Temp\Zv1.exe
O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - Startup: RocketDock.lnk = I:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://I:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - I:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - I:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - I:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - I:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O16 - DPF: {402EE96E-2CE8-482D-ADA5-CECEEA07E16D} - http://www.turntool.com/ViewerInstall.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - i:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - i:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O23 - Service: Dragon Age: Origins - Inhaltsupdater (DAUpdaterSvc) - BioWare - I:\Programme\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - I:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: ICQ Service - Unknown owner - I:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - I:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MBackMonitor - McAfee - I:\Programme\McAfee\MBK\MBackMonitor.exe
O23 - Service: McAfee SiteAdvisor Service - McAfee, Inc. - I:\Programme\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - I:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - i:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - I:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - i:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - I:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - I:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - I:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - I:\Programme\McAfee\MSK\MskSrver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - I:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - I:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
O23 - Service: Pml Driver HPZ12 - HP - I:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - I:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 9919 bytes

Dein Rechner ist nicht sauber:

O4 - HKCU\..\Run: [BMIMZMHMFM] I:\DOKUME~1\David\LOKALE~1\Temp\Zv1.exe


Im Reiter Systemstart ist nach wie vor diese .exe!!!!!

Und die Systemwiederherstellung wurde abgeschaltet zuvor? Sieht nicht so aus.

Start->Ausführen-> msconfig < eingeben und ok. Im Reiter Systemstart nach unbekannten Einträgen suchen. Haken rausmachen.
Neustarten.

Und das mit Dr.Web hast du unmöglich schon gemacht, oder doch?
 

systemwiederherstellung war deaktiviert!

die datei habe ich jetzt rausgenommen.

und das mit dr. web klappt grade nicht, weil wenn ich downloaden drücke kommt nur ne weiße seite, öffnet sich aber kein downloadbutton, das wollte ich morgen nochmal probieren...

Da fängt doch nicht der Format C: Oberposter zum Bereinigen an.
Deaktiviere einfach mal nen unbekannten Autostart schlüssel.
Detailierte Anleitung

Systemwiederherstellung während der Bereinigung abstellen --> keine gute Idee.

HJT zeigt zu wenig Informationen um auch nur irgendwas über ein System zu sagen. Auch versteckt sich Malware gerne vor der HJT.exe .....