Anzeige

Am Puls von Microsoft

Anzeige

Sicherheit Virus/Wurm eingefangen?

yana01

Immer mal wieder da...
Hallo, also folgendes Problem, ich bin im Internet, lese gerade etwas oder scrolle runter oder mache auch einfach gerade gar nichts, dann öffnet sich ohne mein zutun ein neues Fenster und es kommt irgendeine Sch... Werbung. Dieses ist nun schon mindestens 10 mal passiert, wenn ich diesen Spam dann wegdrücke ist auf einmal ein leeres Internet Explorer Fenster offen. Habe schon den Stinger durchlaufen lassen und mein Kaspersky, scheint nichts auffäliges zu finden, aber ich bin ja auch eher ein laie in sowas. Kann mir einer Helfen :confused::cry:??
 
Anzeige
Wenn ich Dich richtig verstehe bist du mit dem Internet Explorer unterwegs ?!
Hast du schon versucht den cache zu leeren ?
 
Vielleicht hast du einen Look2Me Virus auf deinem Computer. Dann öffnen sich häufig diese Popups.
Also erstes Indiz für look2me sind Beschreibungen nach denen Popups aufgingen, obwohl der Browser geschloßen sei.
Zweites Indiz ist ein O20-Zufallseintrag im HijackThis Log (Winlogon).

Du kannst ja mal HijackThis über deinen PC laufen lassen und den Bericht hier dann auch reinschreiben.
HijackThis Homepage
Hier ist auch noch eine Seite zu deinem Problem auf deren Support-Seite:
Werbung öffnet sich von selbst im Browser

Wenn du mit den anderen beiden wenig Erfolg hast kannst du auch dieses Porgramm hier benutzen, nämlich der look2me Remover von Simpytech. Er ist recht einfach zu bedienen und hat eine ganz gute Erfolgsquote, download gibt es hier:
Look2ME Remover
 
So hier ist der Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:52:06, on 03.12.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\PixArt\PAC207\Monitor.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Siber Systems\AI RoboForm\robotaskbaricon.exe
C:\Users\TP388\AppData\Local\jnbfi.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Yahoo! Deutschland
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Yahoo! Deutschland
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Yahoo! Deutschland
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Yahoo! Deutschland
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [PAC207_Monitor] C:\Windows\PixArt\PAC207\Monitor.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [jnbfi] "c:\users\tp388\appdata\local\jnbfi.exe" jnbfi
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [] (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [] (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: RF - Formular ausfüllen - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game14.zylom.com/activex/zylomgamesplayer.cab
O20 - AppInit_DLLs: eNetHook.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 8330 bytes

Cachè unter Internetoptionen?? Oder welches??
 
Zuletzt bearbeitet von einem Moderator:

Anhänge

  • CCleaner.jpg
    CCleaner.jpg
    35,7 KB · Aufrufe: 209
Ok habe ccleaner laufen lassen, mal schauen ob er nun ruhe gibt, werde bescheid sagen am Ende meines Tages:D.
Vielen Dank aber schon mal für eure Hilfe bis hierhin!(y)(y)(y):)

So nun bin ich wieder gerade ins Internet gegangen und er hat es wieder gemacht, Internet Explorer wieder aufgesprungen und so ne blöde Werbung geöffnet. :confused::cry:

Problem besteht weiter, was kann es noch sein??:confused:
 
Zuletzt bearbeitet von einem Moderator:
Hm, habe gerade mal nach der Datei geschaut, eine exe. ist nicht mit dabei sind irgendwelche DAT Dateien, Windowsstapelverarbeitungsdatei steht dahinter. Bei dem anderen schau ich nun mal eben.
 
Hallo:)
dieser AppData Ordner ist normal unsichtbar:D
mache ihn mal über die Ordneroptionen sichtbar:)
 

Anhänge

  • Aufzeichnen.JPG
    Aufzeichnen.JPG
    52,9 KB · Aufrufe: 200
So, Spybot mal gemacht mal schauen hatte direkt was im IE gefunden. Anhang ist hier dabei, halt eine Normale Spam oder???

Hier noch der screenshot von der jnbfi Dateien Sammlung, alle Dateien sind sichtbar ist angehäkelt in der Ordneroption.:):D
 

Anhänge

  • Unbenannt.jpg
    Unbenannt.jpg
    174,8 KB · Aufrufe: 214
  • jnbfi.jpg
    jnbfi.jpg
    176,1 KB · Aufrufe: 215
Zuletzt bearbeitet von einem Moderator:
Hallo:)
damit du auch die .exe sehen kannst:D mache mal in
den Ordneroptionen den Haken bei "Erweiterungen bei bekannten Dateitypen ausblenden" raus;)
dann benenne sie mal um in jnbfi.exe.bak
mal schauen was dann passiert:)
Anhang ist hier dabei, halt eine Normale Spam oder???
jepp:D
 

Anhänge

  • ordner.JPG
    ordner.JPG
    52,8 KB · Aufrufe: 200
Zuletzt bearbeitet:
So habe es gemacht, diese jnbfi.exe Datei umbenannt, jedoch tritt das Problem weiter auf, das komische ist, das immer ähnliche Seiten aufspringen welche ich mal benutzt habe also zb. gestern ja Spybot und nun gehen immer Spyware Seiten auf:confused:
 
Kannst du uns nochmals einen HijackThis Log posten,
nachdem du die ganzen Browser Helper Objekte (BHO) gelöscht hast?

In deinem alten File hast du eine ganze Liste damit.
Löschen - besser 'Fixen' kannst du die Einträge, indem du sie nach dem
HijackThis - Scan markierst und den Button "Fix it!" drückst.

RoboForm und die Yahoo-Toolbar solltest du normal über
Start -> Systemsteuerung -> 'Programme und Funktionen' deinstallieren.

Code:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [URL="http://h**p://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com"]Yahoo! Deutschland[/URL]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [URL="http://h**p://www.google.de/"]Google[/URL]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [URL="http://h**p://de.intl.acer.yahoo.com/"]Yahoo! Deutschland[/URL]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [URL="http://h**p://go.microsoft.com/fwlink/?LinkId=54896"]Live Search[/URL]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [URL="http://h**p://go.microsoft.com/fwlink/?LinkId=54896"]Live Search[/URL]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [URL="http://h**p://de.intl.acer.yahoo.com/"]Yahoo! Deutschland[/URL]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = [URL="http://h**p://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com"]Yahoo! Deutschland[/URL]
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKCU\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
...
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: RF - Formular ausfüllen - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
...
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
Wenn dieser Eintrag immer noch vorhanden ist, ebenfalls fixen.
Code:
O4 - HKCU\..\Run: [jnbfi] "c:\users\tp388\appdata\local\jnbfi.exe" jnbfi
Dann hast du noch die Einträge
Code:
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
...
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
Auch die kannst du fixen.

Wenn du das alles gemacht hast,
läßt du den Spybot nochmals scnannen (bitte hol dir zuerst sein Update vom Server).

Sollte Spybot wieder versagen, installiere AdAware.
Das Programm hat meistens eine aktuellere Erkennungsliste.

Wenn die Programme mit 'Immunisierung' bzw. dem 'Beheben der gefundenen Probleme' fertig sind,
startest du den Rechner neu und überprüfst den Browser hinsichtlich der PopUps.
Sollten die PopUps immer ncoh kommen, poste hier nochmals einen
HijackThis Logfile.
Übrigens besitzt Spybot den sog. Teatimer, das ist ein Registrierungswächter,
der dir immer genau sagt, welche Änderungen an deinem System/Registry vorgenommen werden.
Aktiviere ihn und du kannst sie blockieren oder erlauben.
 
@Franz,
sehr guter Ansatz von dir:)
und was hältst du davon, das die hosts Datei vielleicht ein
paar Einträge zuviel hat;)
 
:) So, bis jetzt ist es noch nicht wieder passiert:), habe hijack this "fix it" gemacht wie ihr mir aufgetragen habt, danach nochmal den adaware durchlaufen lassen da hatte er dann noch einen gefunden. Bisher ist nun alles in ordnung, nur manchmal bißchen lahm im Aufbau von Seiten. Danke(y)(y) erst mal an euch, ihr seid SPITZE. Sollte noch was sein poste ich das hier rein.

MfG yana01
 
Anzeige
Oben