IEXPLORE.EXE?? -> geloestThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
21.02.2006, 20:08
...neu hier
Beiträge: 3 |
||
|
||
21.02.2006, 23:47
Member
Beiträge: 4730 |
#2
Mache bitte ein HJT-Log:
http://managor.de/hjt.htm __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
22.02.2006, 00:22
...neu hier
Themenstarter Beiträge: 3 |
#3
Logfile of HijackThis v1.99.1
Scan saved at 00:21:26, on 22.02.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\taskmgr.exe c:\progra~1\intern~1\iexplore.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Internet Explorer\iexplore.exe E:\Programme\ICQLite\ICQLite.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Internet Explorer\iexplore.exe E:\Programme\Crazy Browser\Crazy Browser.exe C:\Dokumente und Einstellungen\Jatomina\Desktop\hijackthis\HijackThis.exe O2 - BHO: (no name) - {366E4617-A947-8C41-D31D-AAD150D0A011} - C:\DOKUME~1\Jatomina\ANWEND~1\STYLEF~1\Poll01.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKCU\..\Run: [eqgram] C:\DOKUME~1\Jatomina\ANWEND~1\REMOTE~1\web mode test.exe O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: Download with NetPumper - E:\Programme\NetPumper\AddUrl.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1140140473296 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe |
|
|
||
22.02.2006, 16:26
Member
Beiträge: 96 |
#4
Hallo Kajuma.
Aus deinem Logfile entnehme ich: 1) Keine gefärliche Aktivitäten 2) Keine Firewall (oder die Windows-Firewall) Punkt 1 ist da noch der bessere. Über 2 explorer.exe hab ich schon gehört: im zusammenhang mit Trojaner Ich kann dir nur den Tipp geben dir das mal anzusehen: http://www.trojancheck.de/ Das kann 2 explorer.exe aufspüren und killen. Hoffe ich hab dir geholfen. MfG Aicalico __________ Mfg Aicalico |
|
|
||
22.02.2006, 16:37
Member
Beiträge: 4730 |
#5
O2 - BHO: (no name) - {366E4617-A947-8C41-D31D-AAD150D0A011} - C:\DOKUME~1\Jatomina\ANWEND~1\STYLEF~1\Poll01.exe
O4 - HKCU\..\Run: [eqgram] C:\DOKUME~1\Jatomina\ANWEND~1\REMOTE~1\web mode test.exe Verwende am besten das Programm SpySweeper um die Spyware zu entfernen. Deinstalliere den CrazyBrowser, denn der ist nicht wirklich vertrauenswürdig. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
22.02.2006, 22:57
...neu hier
Themenstarter Beiträge: 3 |
#6
Danke,
CrazyBrowser hab ich schon ewig. Ist richtig gut. Hab ihn mir selbst bischen Gemodded! Da ist sicher nichts schlechtes dran! Basiert ja eh auf dem normalen ieplore.exe. Naja, ich versuch das mal asu, wenns nichts wird mach ich ihn halt nochmal neu! Wenn jemadn was hört bitte melden! Vielen Dank, mfG Kajuma |
|
|
||
23.02.2006, 16:45
Ehrenmitglied
Beiträge: 29434 |
#7
Kajuma
die popups kommen von: E:\Programme\NetPumper ..ist eine Lop-Verseuchung http://virus-protect.org/artikel/spyware/lop.html öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: (no name) - {366E4617-A947-8C41-D31D-AAD150D0A011} - C:\DOKUME~1\Jatomina\ANWEND~1\STYLEF~1\Poll01.exe O8 - Extra context menu item: Download with NetPumper - E:\Programme\NetPumper\AddUrl.htm O4 - HKCU\..\Run: [eqgram] C:\DOKUME~1\Jatomina\ANWEND~1\REMOTE~1\web mode test.exe PC neustarten scanne mit panda und poste den scanreport ...der Scanner wird alles finden (was ich nicht sehen kann) http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.03.2006, 13:59
...neu hier
Beiträge: 5 |
#8
Hallo zusammen, hab das gleiche Problem find aber oben angegebene Malware Einträge nicht.
Außerdem öffnet sich so ca. alle 60sek. mein Skript bloggervon Avast! . Hier des Log file Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe D:\Sygate\smc.exe C:\WINDOWS\system32\spoolsv.exe D:\Alwil Software\Avast4\aswUpdSv.exe D:\Alwil Software\Avast4\ashServ.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE D:\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\sstray.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe D:\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe D:\Alwil Software\Avast4\ashMaiSv.exe D:\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Internet Explorer\iexplore.exe c:\progra~1\intern~1\iexplore.exe D:\firefox\firefox.exe D:\D-Link AirPlus DWL-120+ Wireless USB Adapter\AIRPLUS.EXE D:\WinRAR\WinRAR.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX13.812\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://update.zonelabs.com/downloadrequest?updtConfId=1097&updtReqId=1516962879 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1:80 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: (no name) - {BB591E80-5F25-6DA5-CADD-62B7601C4838} - C:\DOKUME~1\ADMINI~1\ANWEND~1\MOVETE~1\loudthat.exe O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [avast!] D:\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SmcService] D:\Sygate\smc.exe -startgui O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [download bin] C:\DOKUME~1\ADMINI~1\ANWEND~1\32LONG~1\gpl book.exe O4 - Global Startup: D-Link AirPlus DWL-120+ Wireless USB Adapter.lnk = ? O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {7FC66017-40C5-4D7D-9E6B-998F0CC8D89F} - D:\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {7FC66017-40C5-4D7D-9E6B-998F0CC8D89F} - D:\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - Unknown owner - D:\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - D:\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - D:\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - D:\Sygate\smc.exe |
|
|
||
18.03.2006, 15:33
Ehrenmitglied
Beiträge: 29434 |
#9
anpfu
Lop - TR/Swizzor http://virus-protect.org/artikel/spyware/lop1.html Versteckte- und Systemdateien sichtbar machen http://virus-protect.org/invisible.html CleanUp http://virus-protect.org/cleanup.html öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: (no name) - {BB591E80-5F25-6DA5-CADD-62B7601C4838} - C:\DOKUME~1\ADMINI~1\ANWEND~1\MOVETE~1\loudthat.exe O4 - HKCU\..\Run: [download bin] C:\DOKUME~1\ADMINI~1\ANWEND~1\32LONG~1\gpl book.exe PC neustarten (in den abgesicherten Modus) --> F8 druecken, wenn der PC hochfaehrt abgesicherter Modus das ist notwendig, denn im Normalmodus kann man die Dateien nicht loeschen Loeschen: C:\Dokumente und Einstellungen\ADMINISTRATOR\Anwendungsdaten\MOVETE....... C:\Dokumente und Einstellungen\ADMININISTRATOR\Anwendungsdaten\32LONG......... --> (das ist nicht die vollstaendige Bezeichnung...man muss suchen) --------------------------------------------------------------------------------------------- Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: dir %Windir%\tasks /a h > files.txt notepad files.txt - Speichern als: findjobs.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text scanne mit Panda und loesche alles manuell, was noch angezeigt wird http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.03.2006, 19:00
...neu hier
Beiträge: 5 |
#10
Hab jetzt in den Angegebenen ordnern, jeweils nur die datei gpl book.exe und im andern loudthat.exe gelöscht. stimmt das so oder sollte ich den gesamten inhalt des ordners löschen?
Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: 145D-B4A2 Verzeichnis von C:\WINDOWS\tasks 16.03.2006 15:23 <DIR> . 16.03.2006 15:23 <DIR> .. 18.03.2006 15:00 284 A8839580918C0BF8.job 23.08.2001 13:00 65 desktop.ini 18.03.2006 18:58 6 SA.DAT 17.03.2006 16:18 398 {2A67AFE1-E67B-4738-8917-8DAA97ABF893}_PC_Administrator.job 17.03.2006 16:19 398 {69A71AF6-CAB9-4C06-9775-8DF92DCEBC2A}_PC_Administrator.job 5 Datei(en) 1.151 Bytes Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Desktop |
|
|
||
18.03.2006, 20:13
Ehrenmitglied
Beiträge: 29434 |
#11
anpfu
natuerlich den gesamten Ordner loeschen: C:\Dokumente und Einstellungen\ADMINISTRATOR\Anwendungsdaten\MOVETE....... C:\Dokumente und Einstellungen\ADMININISTRATOR\Anwendungsdaten\32LONG......... Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: Zitat %systemdrive%- Speichern als: remjob.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal scanne mit Panda und loesche alles manuell, was noch angezeigt wird http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.03.2006, 20:38
...neu hier
Beiträge: 5 |
#12
ok alles gemacht problem verschwunden herzlichen Dank für die schnelle Hilfe
wies bei e-bay immer soschön heißt gerne wieder ^^ Gruß anpfu |
|
|
||
hab am Wochende meinen Rechner neu gemacht und eine andere XP-Version installiert.
Ohne mir bekannten Grund (nach einigem Surfen und anderen Aktivitäten im Netz) habe ich nun mal wieder ein nerviges PopUp-Problem! Es lässt sich einfach nicht über normale Blocker regeln!
Nach genauerem betrachten ist mir aufgefallen das ich immer, auch direkt nach dem Systemstart, ohne das irgend ein Prog offen ist, zwei mal die IEXPLORE.EXE im Taskmanager auftaucht!Eigentlich stimmt ja die Schreibweise usw.
Mir fällt nur auf das trotz dem Beenden über den Taskmanager sie sofort wieder erscheinen! ICh hab keine Chance sie irgendwie zu killen. Noch dazu brauchen sie ca. 25 Mb Arbeitsspeicher, was natürlich einfach zu viel ist.
AntiVir, Spybot und AdAware entdecken nichts! In allen Foren steht immer nur das es au´f die Schreibweise und nicht auf Klein- und Großschreibung ankommt!
Kann muir jemand helfen?
Danke. mfG Kajuma