Virusbefall Auto Anmeldescript im IEXplorer 6.0

06.09.2008, 18:43

Hi,

seit Tagen kämpfe ich mit einem Virenbefall. Dieser startet ein Autoscript im IExplorer auf unerwünschte Webseiten wie

Code:

https://www.ucleaner.com

, ultimate cleaner,

Code:

https://www.softwarereferral.com

und komme ebenfalls nicht mehr ins WEb.
Über die Registry wurde das Cund D Laufwerk ausgeblendet , konnte diese aber glücklicherweise
wieder herstellen.

Leider komme ich beim IExplorer keinen mm weiter ? ( Siehe R0,
der Eintrag gfällt mir nicht wirklich)

Hat einer eine zündende Idee ?

Hier mein Scan:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:55:53, on 06.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\AntiVirenKit 2006\AVKService.exe
C:\Programme\AntiVirenKit 2006\AVKWCtl.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\Programme\Buhl\Börse 2007\bin\watchdog.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\PowerDvD\PowerVCR II\Agent.exe
C:\Programme\AntiVirenKit 2006\AVKTray\AVKTray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\tools\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\WINDOWS\system32\carpserv.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programme\Tools\CloneCD\CloneCDTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon. exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Tools\RoboForm\RoboTaskBarIcon.exe
C:\Programme\Tools\PRMT75\PRMTED\EDLauncher.exe
C:\Programme\tools\Copernic Desktop Search\CopernicDesktopSearch.exe
C:\Programme\Tools\Spybot\TeaTimer.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Creative\MediaSource5\Go\CTCMSGoU.exe
C:\Programme\EPSON\SmartPannelScanner\ESPmain.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtProc .exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\PROGRA~1\Tools\PRMT75\PRMTED\prmedsvr.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Tools\Real\RealPlayer\RealPlay.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Office\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://softwarereferral.com/jump.php?wm ... Ojg5&lid=2
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Tools\Spybot\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Tools\RoboForm\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: QXK Olive - {DBEF65C0-913F-49C4-82FD-7EB478B30FB5} - C:\WINDOWS\wnlmdakqsrg.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Tools\RoboForm\roboform.dll
O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Programme\Tools\PRMT75\PRMTIE\prmtie.dll
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Agent] "C:\Programme\PowerDvD\PowerVCR II\Agent.exe"
O4 - HKLM\..\Run: [Remote_Agent] "C:\Programme\PowerDvD\PowerVCR II\RemoteAgent.exe"
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\AntiVirenKit 2006\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Tools\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [InstantAccess] c:\PROGRA~1\tools\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] c:\PROGRA~1\tools\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Tools\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe "
O4 - HKLM\..\Run: [WrtMon.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon. exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [RegisterDropHandler] c:\PROGRA~1\tools\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Tools\RoboForm\RoboTaskBarIcon.e xe"
O4 - HKCU\..\Run: [EDLauncher] C:\Programme\Tools\PRMT75\PRMTED\EDLauncher.exe
O4 - HKCU\..\Run: [Copernic Desktop Search] "C:\Programme\tools\Copernic Desktop Search\CopernicDesktopSearch.exe" /tray
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Tools\Spybot\TeaTimer.exe
O4 - HKCU\..\Run: [MoneyBee HG] "C:\Programme\Tools\MoneyBee\MoneyBeeHG.exe"
O4 - HKCU\..\Run: [Nokia.PCSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Creative MediaSource Go] "C:\Programme\Creative\MediaSource5\Go\CTCMSGoU.ex e" /SCB
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Programme\EPSON\SmartPannelScanner\ESPmain.exe
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: RF - Formular ausfüllen - file://C:\Programme\Tools\RoboForm\RoboFormComFillForms.ht ml
O8 - Extra context menu item: RF - Formular speichern - file://C:\Programme\Tools\RoboForm\RoboFormComSavePass.htm l
O8 - Extra context menu item: RF - Menü anpassen - file://C:\Programme\Tools\RoboForm\RoboFormComCustomizeIEM enu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://C:\Programme\Tools\RoboForm\RoboFormComShowToolbar. html
O8 - Extra context menu item: Übersetzen - C:\Programme\Tools\PRMT75\PRMTIE\translat.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Tools\RoboForm\RoboFormComFillForms.ht ml
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Tools\RoboForm\RoboFormComFillForms.ht ml
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Tools\RoboForm\RoboFormComSavePass.htm l
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Tools\RoboForm\RoboFormComSavePass.htm l
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Tools\RoboForm\RoboFormComShowToolbar. html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Tools\RoboForm\RoboFormComShowToolbar. html
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\Tools\PRMT75\PRMTIE\prmtie5.htm
O9 - Extra 'Tools' menuitem: Übersetzen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\Tools\PRMT75\PRMTIE\prmtie5.htm
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\Tools\PRMT75\PRMTIE\options.htm
O9 - Extra 'Tools' menuitem: Übersetzungsoptionen anpassen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\Tools\PRMT75\PRMTIE\options.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5153EFA8-5F68-4C40-A0EB-EE323F888F10}: NameServer = 192.168.120.252,192.168.120.253
O21 - SSODL: tfnslopk - {CEDAFE09-47EA-41FA-AD5C-FB7369592956} - (no file)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKWCtl.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: WisoBoerseWatchDog - market maker Software AG - C:\Programme\Buhl\Börse 2007\bin\watchdog.exe

Merci ....

06.09.2008, 19:16

Starte den PC im abgesicherten Modus (beim Hochfahren vorm Windows-Logo F8 drücken) und mit HijackThis folgendes fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://softwarereferral.com/jump.php?wm ... Ojg5&lid=2
O4 - HKCU\..\Run: [MoneyBee HG] "C:\Programme\Tools\MoneyBee\MoneyBeeHG.exe"

Außerdem solltest du gleich noch im abgesicherten Modus einen kompletten Scan mit deinem Antiviren-Programm machen.

06.09.2008, 19:41

Zitat von Spyx

O4 - HKCU\..\Run: [MoneyBee HG] "C:\Programme\Tools\MoneyBee\MoneyBeeHG.exe"

@Spyx: Zu dem Eintrag hab ich doch glatt mal ne Frage.

Der Eintrag startet doch ein Programm im Verzeichnis: C:\Programme\Tools\MoneyBee\.....

für mich als HijackThis-Laien.....

wird beim Fixen dieses oder auch ähnlicher Einträge denn auch die .exe-Datei und das Verzeichnis gelöscht oder nur der "Run"-Eintrag aus der Registry

LG

06.09.2008, 19:59

Hallöchen,

es wird nur der Eintrag gelöscht, nicht aber die Datei selbst. Da ist dann nach dem Neustart des Rechners noch etwas Aufräumarbeit von dir nötig...

Ich würde auch folgende Einträg noch beheben:

Code:

O2 - BHO: QXK Olive - {DBEF65C0-913F-49C4-82FD-7EB478B30FB5} - C:\WINDOWS\wnlmdakqsrg.dll
O21 - SSODL: tfnslopk - {CEDAFE09-47EA-41FA-AD5C-FB7369592956} - (no file)

06.09.2008, 20:18

ging ja nicht um mich, ich wollte nur mal die Vorgehensweise wissen, weil hier zwar immer vom Fixen diverser Einträge die Rede ist, aber da ist dann ja wirklich etwas mehr zu tun.....

hatte ich aber fast schon vermutet

LG

12.09.2008, 23:46

Hallo,

habe heute Abend die Aktionen durchgezogen und es sieht richtig gut aus.
Der Bildaufbau im IE geht schneller als zuvor.

Vielen Dank for the helping hand ...

13.09.2008, 08:48

Moin,

Zitat von Q-Max

weil hier zwar immer vom Fixen diverser Einträge die Rede ist, aber da ist dann ja wirklich etwas mehr zu tun.....

Ich habe auch lange gebraucht, den Unterschied zwischen "Fixen" und "Löschen" zu begreifen.
Man muss bei den Einträgen, wo ein Pfad angegeben ist, nach dem "Fixen" im Explorer dem Weg nachgehen und dort manuell "löschen".
Eine anschließende Reinigung der Registry käme noch dazu.

14.09.2008, 19:48

das habe ich mir ja fast gedacht. Mich wundert nur das hier immer gesagt wird" fixe hier und fixe da"

aber von der anschließenden "Handarbeit" wird nichts erwähnt. Damit würden wir ja nur halbseidene Hife geben

LG

14.09.2008, 21:10

Hallöchen,

stimmt, daran müssen wir denken, das wir dann auch den Hinweis geben das die entsprechenden .dll und .exe Dateien auch gelöscht werden nach erfolgreichem Beheben der Probleme. Guter Hinweis...

Virusbefall Auto Anmeldescript im IEXplorer 6.0

Virusbefall Auto Anmeldescript im IEXplorer 6.0

Re: Virusbefall Auto Anmeldescript im IEXplorer 6.0

Re: Virusbefall Auto Anmeldescript im IEXplorer 6.0

Re: Virusbefall Auto Anmeldescript im IEXplorer 6.0

Re: Virusbefall Auto Anmeldescript im IEXplorer 6.0

Re: Virusbefall Auto Anmeldescript im IEXplorer 6.0

Re: Virusbefall Auto Anmeldescript im IEXplorer 6.0

Re: Virusbefall Auto Anmeldescript im IEXplorer 6.0

Re: Virusbefall Auto Anmeldescript im IEXplorer 6.0

Ähnliche Themen

Biete Auto

Virusbefall?

iexplorer schließt nicht richtig

WoW Absturz auto Neustart (Auto Neustart ist Aus)

Auto Simulation?