Internet Explorer macht sich ständig auf

blawa · 14.10.2007

Hi an alle,
da ich mich mit Spyware/Virusen etc nicht gut auskenne, wusste ich auch nicht nach was ich in der Suchfunktion suchen soll.

Aber nun zu meinem Problem, bei dem mir hoffentlich jemand helfen könnte:
Ich verwende Windows XP Home Edition (SP2), und als Explorer den Firefox. Ausserdem habe ich Norton Antivirus 2007 installiert, doch tauchte vor ein paar Tagen ein Problem auf:

Plötzlich kommen irgendwelche Fehlermeldungen in der Taskleiste, von wegen ich hätte einen Virus, und dann öffnet sich der Internet Explorer und geht auf Antivirus seiten. Manchmal kommen auch Meldungen am Bildschirm, und egal ob ich JA oder NEIN anklicke, es öffnet sich wieder der IE und versucht irgendwelche Seiten zu laden. Ich habe bei meinem Norton die neusten Updates und einen kompletten Scan gemacht, aber nichts gefunden.

Kann mir einer von euch sagen, wie ich dieses Problem lösen kann?

hp · 14.10.2007

mal in die faq seite gucken http://www.wintotal-forum.de/index.php/topic,33317.0.html dort dann unter spysheriff, spytrooper, winfixer etc. nachlesen. könnte sowas sein. auch mal die kiste mit programmen wie adaware, spybot und a² scannen und ein hijackthis-log hier www.hijackthis.de auswerten lassen ... die programme kannst du hier http://www.wintotal.de/Software/?rb=31 downloaden. nach der installation bei adaware, spybot und a² erst ein online update machen, damit die programme die aktuelleste virendeffinitionsdateien aus dem internet ziehn, dann den rechner im abgesicherten modus als administrator starten, die programma nacheinander laufen lassen und alles was die fineden bereinigen ...

greetz

hugo

blawa · 14.10.2007

AVG hat ein paar Trojana gefunden, aber mein Problem besteht immer noch;
ich habe jetzt mal HiJack ausprobiert, aber ich weis nicht wie ich das entferne, bzw was ich entfernen muss... kann mir da jemand helfen?
Hier der LOG:

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:43:28, on 14.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\netdde.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\clipsrv.exe
C:\WINDOWS\system32\dllhost.exe
C:\MAGIX\Common\Database\bin\fbserver.exe
C:\Dokumente und Einstellungen\Dino\Desktop\Antivirus\Progs\HiJackThis\HijackThis.exe

O2 - BHO: (no name) - {05E62904-396E-40EB-B32A-DFD139E97E4D} - C:\WINDOWS\system32\vtsqq.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.1.5.19.dll
O2 - BHO: (no name) - {569E3B7B-EA01-43FF-AD74-20FD68DE143C} - C:\WINDOWS\system32\ssqpo.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {89AD4D75-2429-462e-BD4E-443F233F6033} - C:\WINDOWS\system32\qipvwkph.dll
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\aaouafmh.dll
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\aaouafmh.dll
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe C:\WINDOWS\system32\lfcyhepe.dll,sitypnow
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User->LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User->NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User->SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User->Default user')
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O20 - Winlogon Notify: aaouafmh - C:\WINDOWS\SYSTEM32\aaouafmh.dll
O20 - Winlogon Notify: winjks32 - winjks32.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 4776 bytes

CrisesCrawler · 14.10.2007

wenn avg schon->ein paar trojaner' gefunden hat, können da noch mehr sein.
du solltest mal ein paar andere scanner laufen lassen (von einer sauberen boot-cd!)

das hjt-log kannst hier auswerten lassen:
http://www.hijackthis.de/de

nur copy&paste oder das log-file hochladen.

Analysedetails
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\aaouafmh.dll

Unbedingt fixen! [random filename] - VirtuMonde/Vundo, http://www.symantec.com/security_respons e/writeup.jsp?docid=2004-112111-3912-99 adware component

Analysedetails
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\aaouafmh.dll

Unbedingt fixen! [random filename] - VirtuMonde/Vundo, http://www.symantec.com/security_respons e/writeup.jsp?docid=2004-112111-3912-99 adware component

Wenns VirtuMonde ist (http://www.avira.com/de/threats/section/fulldetails/id_vir/3610/tr_virtumonde.26730.html)

vielleicht hilft das:
http://www.trojaner-board.de/23940-iwe-kann-man-virtumonde-entfernen.html

oder das:
http://forum.hijackthis.de/showthread.php?t=16692

snowbird · 14.10.2007

Mach mal ein scan mit eScan, ----> http://www.zdnet.de/downloads/prg/8/2/de10563582-wc.html eine Anleitung dazu findest du http://www.trojaner-board.de/42731-escan-anleitung.html hier.

Du kannst auch noch einen scan mit SuperAntiSpyware machen, das findest du http://www.superantispyware.com/ .

Mache erst mal einen scan mit eScan, und poste uns das ergebnis...

snowbird

blawa · 15.10.2007

Ich habe es jetzt wie in der oben geposteten Anleitung gemacht (http://forum.hijackthis.de/showthread.php?t=16692), und diese Pop ups sind weg.

Hier ist der neue HiJackthis log:

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:45:38, on 15.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\clipsrv.exe
C:\WINDOWS\system32\dllhost.exe
C:\MAGIX\Common\Database\bin\fbserver.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Dino\Desktop\Antivirus\Progs\HiJackThis\HijackThis.exe

O2 - BHO: (no name) - {05E62904-396E-40EB-B32A-DFD139E97E4D} - C:\WINDOWS\system32\vtsqq.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.1.5.19.dll
O2 - BHO: Spybot-S&amp;D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {569E3B7B-EA01-43FF-AD74-20FD68DE143C} - C:\WINDOWS\system32\ssqpo.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe C:\WINDOWS\system32\pvmsiorg.dll,sitypnow
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User->LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User->NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User->SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User->Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra->Tools' menuitem: Spybot - Search &amp; Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O20 - Winlogon Notify: winjks32 - winjks32.dll (file missing)
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 5637 bytes

Wenn ich den auswerten lasse, kommen ein paar gelbe->X' (unnötig), aber wie entferne ich diese unnötigen sachen?

mfg und danke für die hilfe

CrisesCrawler · 15.10.2007

glückwunsch.

um einträge zu entfernen, musst in hjt bei der jeweiligen zeile einen hacken vor den eintrag setztn und->Fix checked' wählen.
was hjt genau macht um den eintrag zu fixen, kannst lesen, wenn du die zeile markierst und->info on selected' item wählst. ziemlich am ende steht dann:->(action taken: ..... )'. das is das, was hjt macht um den eintrag zu korrigieren.

snowbird · 15.10.2007

@ blawa

Und meine Vorschläge hast du nicht in betracht gezogen ?

Und denke Bitte daran das ist eine Automatische auswertung von einen HJT Log, steht doch auch dabei ?!

snowbird

Beachelch · 16.10.2007

So wie ich das sehe hast du zwei Virenscanner parallel laufen.
Meines wissens kann das nicht gut gehen da die sich anhand von den Signaturen gegenseitig finden.
Gruß Beachelch

blawa · 16.10.2007

Ich habe 2 Scanner laufen, weil in dem Beitrag die Rede von AVG war, und ich standardmäßig Norton verwende.

@snowbird: Ich dachte, es wäre prinzipiell egal, welchen scanner ich verwende, und da der erste Versuch gleich geklappt hat, dachte ich nicht, dass ich noch etwas unternehmen müsste. Aber wenn du meinst, dass dieser scan auch noch hilfreich ist, dann mache ich den auch noch.

mfg blawa

Beachelch · 16.10.2007

blawa schrieb:
Ich habe 2 Scanner laufen, weil in dem Beitrag die Rede von AVG war, und ich standardmäßig Norton verwende.

Bitte mal erläutern was für ein Beitrag das sein soll.
Ich könnte fast drauf wetten das die Probs nach der installaton des zweiten Virenscanners aufgetretten sind.
Mal so ins blau geraten.
Was ist mit den Tools die HP vorgeschlagen hat.
Z.B. was sagt Spybot?
Vorschlag von mir noch sichere deine Dateien vor irgendwelchen Operationen.
Gruß Beachelch

blawa · 16.10.2007

Den Beitrag, den ich oben erwähnt hatte, der mein Problem scheinbar gelöst hat.
Ich hatte schon immer Norton AV 2007, aber in dem Thread wurde AVG+Spybot erwähnt, und die habe ich verwendet.
Aber jetzt passt alles, bzw ich werde in näherer Zukunft einen Umstieg auf Linux wagen ^^

snowbird · 17.10.2007

Also Rechner clean, oder nicht ?

snowbird

blawa · 17.10.2007

Sollte clean sein; zumindestens ist das pop up problem beseitigt und die AV-Programme finden nichts mehr.

snowbird · 18.10.2007

Gut SO :1

snowbird

Zade · 20.10.2007

hallo, ich hatte dasselbe problem wie blawa. Mit den oben genannten tipps hab ich es aber behoben. Beim erneuten HJT wurde allerdings eine datei gefunden die als schädlich gekennzeichnet ist( O4 - HKLM\..\Policies\Explorer\Run: [SystemManager] C:\WINDOWS\system32\wina2p.exe Fuzzy Algorithmusprüfung (2.71 / 5.00), Schädlich). Ich kann die datei aber weder mit HJT noch manuell löschen...nun wollt ich fragen ob ihr ne idee habt wie ich die datei loswerden kann. Vielen dank schonmal im vorraus.
MFG

PCDpan_fee · 20.10.2007

Zade schrieb:
C:\WINDOWS\system32\wina2p.exe

http://www.wintotal.de/Spyware/index.php?Filter=W#Spyware10707
(Deinstallation Alpha-DISC Uninstaller)

pan_fee

Reneeee · 21.10.2007

Guten Morgen,
Dass nun das poppup Fenster weg ist, sollte nicht unbedingt bedeuten, dass der/die Trojaner weg sind. Trojaner fungieren auch als sog. Schläfer und warten.
In solchen Fällen hilft auch AD-Aware SE Personal (free). auch a-squered-Free, der Windows-Defender.
Vielleicht auch mal überlegen nur ein Anti-Virenscanner mit Hintergrundwächter am Laufen zu haben. Das könnte ansonsten mal bös zusammen Kollabieren.
Bis hin zum Systemabsturz. Anti-Virenprogramme und Anti-Spywareprogramme sind zwei paar verschiedene Schuhe. Von dem einen darf man nur eins und von dem anderen mehrere auf dem pc haben.

Internet Explorer macht sich ständig auf

blawa

hp

blawa

CrisesCrawler

snowbird

blawa

CrisesCrawler

snowbird

Beachelch

blawa

Beachelch

blawa

snowbird

blawa

snowbird

Zade

PCDpan_fee

Reneeee

Internet Explorer macht sich ständig auf

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums