Internet Explorer öffnet Pop-ups!

02.06.2010, 21:00

Hallo Forum, ich bin gerade ziemlich erschrocken. Mein Internet Explorer (den ich eigentlich nie benutze) öffnet einfach so Pop-ups. Gerade eben kamen ohne irgendwelche Vorwarnungen 3 auf einmal wie aus dem nichts. Das ganze passierte während ich mit dem Firefox nur hier im Forum tätig war, und ohne das der Internet Explorer schon als eigenständiger Prozess lief.

Woher kommt das das der Browser sich ohne den Besuch von Websites alle 15/20 Minuten selbst öffnet und mir Pop-up's von irgendwelchen Websites zeigt?!

02.06.2010, 22:09

Der IE ist viel zu tief im System verankert um ihn "nie zu nutzen".

PC mal nach Viren überprüft? Hijackthis Logfile?

02.06.2010, 22:15

Das hört sich nach Malware an, daher Thread

Wie gesagt, erstell mal ein Hijackthis-Log und poste es hier.

03.06.2010, 00:00

Ich weiß nicht was davon benötigt wird, deswegen hier mal das komplette Ding:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:57:59, on 03.06.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\siswlsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Dlocia.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\RocketDock\RocketDock.exe
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\drvshp32.ex e
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\winnsvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Dr1.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

]
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe" //mailurl:mailto:

]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R3 - URLSearchHook: QIPBHO Class - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\I nternet Explorer\qipsearchbar.dll
O1 - Hosts: 186.103.7.68

]
O1 - Hosts: 91.23.220.27 securityresponse.symantec.com
O1 - Hosts: 52.131.189.100 symantec.com
O1 - Hosts: 163.207.247.203

]
O1 - Hosts: 177.62.121.196 sophos.com
O1 - Hosts: 152.3.57.196

]
O1 - Hosts: 130.84.211.176 mcafee.com
O1 - Hosts: 148.193.115.150 liveupdate.symantecliveupdate.com
O1 - Hosts: 43.196.246.155

]
O1 - Hosts: 101.153.76.52 viruslist.com
O1 - Hosts: 228.79.33.153 f-secure.com
O1 - Hosts: 206.32.188.119

]
O1 - Hosts: 24.254.39.229 kaspersky.com
O1 - Hosts: 5.110.144.154

]
O1 - Hosts: 233.153.239.93

]
O1 - Hosts: 51.160.233.188 avp.com
O1 - Hosts: 170.49.244.1

]
O1 - Hosts: 247.88.189.98 networkassociates.com
O1 - Hosts: 100.151.199.120

]
O1 - Hosts: 227.56.84.243 ca.com
O1 - Hosts: 82.226.136.139 mast.mcafee.com
O1 - Hosts: 253.107.204.58 my-etrust.com
O1 - Hosts: 101.237.113.168

]
O1 - Hosts: 64.28.149.231 download.mcafee.com
O1 - Hosts: 192.214.75.96 dispatch.mcafee.com
O1 - Hosts: 24.252.246.13 secure.nai.com
O1 - Hosts: 61.129.246.233 nai.com
O1 - Hosts: 233.192.135.165

]
O1 - Hosts: 230.19.229.157 update.symantec.com
O1 - Hosts: 137.161.181.10 updates.symantec.com
O1 - Hosts: 125.119.160.121 us.mcafee.com
O1 - Hosts: 193.219.65.124 liveupdate.symantec.com
O1 - Hosts: 244.220.65.159 customer.symantec.com
O1 - Hosts: 209.46.192.157 rads.mcafee.com
O1 - Hosts: 246.53.247.212 trendmicro.com
O1 - Hosts: 233.96.28.247

]
O1 - Hosts: 186.103.7.68

]
O1 - Hosts: 91.23.220.27 securityresponse.symantec.com
O1 - Hosts: 52.131.189.100 symantec.com
O1 - Hosts: 163.207.247.203

]
O1 - Hosts: 177.62.121.196 sophos.com
O1 - Hosts: 152.3.57.196

]
O1 - Hosts: 130.84.211.176 mcafee.com
O1 - Hosts: 148.193.115.150 liveupdate.symantecliveupdate.com
O1 - Hosts: 43.196.246.155

]
O1 - Hosts: 101.153.76.52 viruslist.com
O1 - Hosts: 228.79.33.153 f-secure.com
O1 - Hosts: 206.32.188.119

]
O1 - Hosts: 24.254.39.229 kaspersky.com
O1 - Hosts: 5.110.144.154

]
O1 - Hosts: 233.153.239.93

]
O1 - Hosts: 51.160.233.188 avp.com
O1 - Hosts: 170.49.244.1

]
O1 - Hosts: 247.88.189.98 networkassociates.com
O1 - Hosts: 100.151.199.120

]
O1 - Hosts: 227.56.84.243 ca.com
O1 - Hosts: 82.226.136.139 mast.mcafee.com
O1 - Hosts: 253.107.204.58 my-etrust.com
O1 - Hosts: 101.237.113.168

]
O1 - Hosts: 64.28.149.231 download.mcafee.com
O1 - Hosts: 192.214.75.96 dispatch.mcafee.com
O1 - Hosts: 24.252.246.13 secure.nai.com
O1 - Hosts: 61.129.246.233 nai.com
O1 - Hosts: 233.192.135.165

]
O1 - Hosts: 230.19.229.157 update.symantec.com
O1 - Hosts: 137.161.181.10 updates.symantec.com
O1 - Hosts: 125.119.160.121 us.mcafee.com
O1 - Hosts: 193.219.65.124 liveupdate.symantec.com
O1 - Hosts: 244.220.65.159 customer.symantec.com
O1 - Hosts: 209.46.192.157 rads.mcafee.com
O1 - Hosts: 246.53.247.212 trendmicro.com
O1 - Hosts: 233.96.28.247

]
O1 - Hosts: 186.103.7.68

]
O1 - Hosts: 91.23.220.27 securityresponse.symantec.com
O1 - Hosts: 52.131.189.100 symantec.com
O1 - Hosts: 163.207.247.203

]
O1 - Hosts: 177.62.121.196 sophos.com
O1 - Hosts: 152.3.57.196

]
O1 - Hosts: 130.84.211.176 mcafee.com
O1 - Hosts: 148.193.115.150 liveupdate.symantecliveupdate.com
O1 - Hosts: 43.196.246.155

]
O1 - Hosts: 101.153.76.52 viruslist.com
O1 - Hosts: 228.79.33.153 f-secure.com
O1 - Hosts: 206.32.188.119

]
O1 - Hosts: 24.254.39.229 kaspersky.com
O1 - Hosts: 5.110.144.154

]
O1 - Hosts: 233.153.239.93

]
O1 - Hosts: 51.160.233.188 avp.com
O1 - Hosts: 170.49.244.1

]
O1 - Hosts: 247.88.189.98 networkassociates.com
O1 - Hosts: 100.151.199.120

]
O1 - Hosts: 227.56.84.243 ca.com
O1 - Hosts: 82.226.136.139 mast.mcafee.com
O1 - Hosts: 253.107.204.58 my-etrust.com
O1 - Hosts: 101.237.113.168

]
O1 - Hosts: 64.28.149.231 download.mcafee.com
O1 - Hosts: 192.214.75.96 dispatch.mcafee.com
O1 - Hosts: 24.252.246.13 secure.nai.com
O1 - Hosts: 61.129.246.233 nai.com
O1 - Hosts: 233.192.135.165

]
O1 - Hosts: 230.19.229.157 update.symantec.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\I nternet Explorer\qipsearchbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [vilaunch] C:\WINDOWS\system32\vilaunch.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Windows System Manager] C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\winnsvc.exe
O4 - HKLM\..\Run: [comctl32] C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\drvshp32.ex e
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [comctl32] C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\drvshp32.ex e
O4 - HKCU\..\Run: [M5T8QL3YW3] C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Dr1.exe
O4 - HKCU\..\Run: [V71IQL7HI7] C:\WINDOWS\Dlocia.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Verknüpfung mit RocketDock.lnk = C:\Programme\RocketDock\RocketDock.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) -

]
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) -

]
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -

]
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: SiS WirelessLan Service (SiSWLSvc) - Unknown owner - C:\WINDOWS\system32\siswlsvc.exe

--
End of file - 11430 bytes

03.06.2010, 00:54

Vermutlich Malware (bei virustotal.com hochladen und überprüfen):

Code:

C:\WINDOWS\Dlocia.exe
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\drvshp32.exe
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\winnsvc.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Dr1.exe
C:\WINDOWS\system32\vilaunch.exe

Mit Hijackthis fixen (markieren und "Fix checked" klicken):

Code:

 	R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
 	R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe" //mailurl:mailto: ]

Des weiteren hast du in deiner Hosts Datei eine ganzen Haufen Zuordnungen von Domains zu IP-Adressen.

Spoiler:

Öffne mal die Datei C:\Windows\System32\drivers\etc\hosts und lösche alle diese Einträge raus. Dadurch wird verhindert, dass du auf die Homepage eines Antiviren-Herstellers kommst, bzw. eventuell sogar das Updaten von installierten Antiviren-Programmen.

Unnötig:

Code:

 	O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\I nternet Explorer\qipsearchbar.dll

Kurz gesagt, dein System ist bis Oberkante Unterlippe voll mit Malware. Sinnvoll wäre es deine Daten zu sichern und Windows neu zu installieren.

03.06.2010, 06:40

genau das hatte ich vor einigen tagen auch mal!
der ie hat sich immer alle 5min automatisch geöffnet und werbung angezeigt

hab dan einfach die datei manuell gelöscht und alles war wieder ok

03.06.2010, 11:57

Zitat:

Kurz gesagt, dein System ist bis Oberkante Unterlippe voll mit Malware. Sinnvoll wäre es deine Daten zu sichern und Windows neu zu installieren.

Aber ich könnte das ganze auch mit den von dir beschriebenen Schritten wieder in Ordnung bringen?

03.06.2010, 14:08

Du kannst mit Hijackthis die paar Einträge schon recht leicht fixen und in der Hosts-Datei die IP-Adress-Zuweisungen löschen. Aber die Malware (die übrigens bei jedem Start des PCs ausgeführt wird) hast du dann immer noch drauf. Und die Wahrscheinlichkeit ist groß, dass dabei dann einfach die Einträge wieder erstellt werden.

Ob und wie man die Schädlinge entfernen kann, kann man dir nur sagen wenn man weiß um was es sich handelt. Deshalb solltest du die Dateien ja bei virustotal.com hochladen.

03.06.2010, 18:46

Ich hab die besagten Dateien vorhon hochgeladen, und alle waren zwischen 5/40 - 20/40.

Dann hab ich sie einfach manuell aus den Verzeichnissen gelöscht & Malwarebytes drüber laufen lassen.