iexplorer.exe hijackthisLOG liegt bei |
||
---|---|---|
#0
| ||
26.07.2006, 16:16
...neu hier
Beiträge: 10 |
||
|
||
26.07.2006, 18:32
Ehrenmitglied
Beiträge: 29434 |
#2
das ist der LOP- Swizzor/Trojaner, von dir selbst geladen (wahrscheinlich der netpumper oder Messenger 3 Plus )
look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint http://virus-protect.org/zip/look.zip __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.07.2006, 00:37
...neu hier
Themenstarter Beiträge: 10 |
#3
Was kann der anstellen????
Hier der TEXT Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6808-E5DC Verzeichnis von C:\Dokumente und Einstellungen\Se7ven\Anwendungsdaten 25.07.2006 03:35 <DIR> Adobe 26.07.2006 01:20 <DIR> CYBERL~1 CyberLink 22.07.2006 04:03 <DIR> ICQLite 22.07.2006 01:15 <DIR> IDENTI~1 Identities 24.07.2006 00:00 <DIR> INTRAH~1 Intra Htm Wipe 22.07.2006 02:54 <DIR> Lavasoft 22.07.2006 04:02 <DIR> MACROM~1 Macromedia 22.07.2006 01:53 <DIR> Mozilla 23.07.2006 23:19 <DIR> Sun 24.07.2006 22:19 <DIR> TEAMSP~1 teamspeak2 22.07.2006 02:52 <DIR> TUNEUP~1 TuneUp Software 0 Datei(en) 0 Bytes 11 Verzeichnis(se), 18.709.655.552 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6808-E5DC Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten 22.07.2006 02:25 305 ADDR_F~1.HTM addr_file.html 23.07.2006 02:11 <DIR> Adobe 23.07.2006 02:21 <DIR> ADOBES~1 Adobe Systems 26.07.2006 15:36 <DIR> ANTIVI~1 AntiVir PersonalEdition Classic 26.07.2006 04:28 <DIR> BALMFI~1 Balm First Frag Multi 22.07.2006 02:58 <DIR> CYBERL~1 CyberLink 24.07.2006 00:00 <DIR> OPENGL~1 OPENGLUEOOZEBEND 22.07.2006 02:51 <DIR> TUNEUP~1 TuneUp Software 22.07.2006 03:03 <DIR> WINDOW~1 Windows Genuine Advantage 1 Datei(en) 305 Bytes 8 Verzeichnis(se), 18.709.655.552 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6808-E5DC Verzeichnis von C:\WINDOWS\tasks 26.07.2006 16:00 264 AF0C5DA391EBD707.job 23.08.2001 14:00 65 desktop.ini 27.07.2006 00:31 6 SA.DAT 3 Datei(en) 335 Bytes 0 Verzeichnis(se), 18.709.655.552 Bytes frei |
|
|
||
27.07.2006, 15:37
Ehrenmitglied
Beiträge: 29434 |
#4
se7ven
Information Swizzor http://virus-protect.org/artikel/spyware/lop1.html --------------------------------------------------------------------- 1. Versteckte- und Systemdateien sichtbar machen http://virus-protect.org/invisible.html 2. PC neustarten (in den abgesicherten Modus) --> F8 drücken, wenn der PC hochfährt das ist notwendig, denn im Normalmodus kann man die Dateien nicht löschen 3. Loeschen: C:\Dokumente und Einstellungen\Se7ven\Anwendungsdaten\Intra Htm Wipe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Balm First Frag Multi C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OPENGLUEOOZEBEND C:\WINDOWS\tasks\AF0C5DA391EBD707.job --------------------------------------------------------------------- 4. öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O2 - BHO: (no name) - {16E3C909-19A0-6B0F-AA6E-FD33A1161EB9} - C:\DOKUME~1\Se7ven\ANWEND~1\INSIDE~1\Size Ping.exe (file missing)5. boote wieder in den Normalmodus 6. Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften ---> Reiter Systemwiederherstellung ---> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) 7. CleanUp http://virus-protect.org/cleanup.html 8. Counterspy --> löscht die Eintraege in der Registry von MessengerPlus! 3 und Netpumper http://virus-protect.org/counterspy.html * nach dem Scan muss man sich entscheiden für: *Remove 9. scanne mit Panda und lösche alles manuell, was noch angezeigt wird http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.07.2006, 19:49
...neu hier
Themenstarter Beiträge: 10 |
#5
Vielen Dank, euer Bord ist echt super.Ich werde das gleich ausprobieren.
EDIT: Ich habe alles so gemacht, wie von dir beschrieben. Panda findet nichts mehr und der Prozess läuft auch nicht mehr im Hintergrund. Allerdings konnte ich die Datei C:\WINDOWS\tasks\AF0C5DA391EBD707.job NICHT ausfindig machen. Dementsprechend konnte ich sie auch nicht löschen. Ist das schlimm? Dieser Beitrag wurde am 27.07.2006 um 21:38 Uhr von se7ven editiert.
|
|
|
||
27.07.2006, 22:04
Ehrenmitglied
Beiträge: 29434 |
#6
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:
Zitat %systemdrive%- Speichern als: remjob.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.07.2006, 23:33
...neu hier
Themenstarter Beiträge: 10 |
#7
hab ich gemacht, danke dir
|
|
|
||
Die iexplrer.exe läuft bei mir al sProzess im Hintergrund und wenn ich sie beende, startet sie einfach wieder.
Das Problem tritt zum ersten Mal bei mir auf. das System habe ich vor einer Wocher erst neu aufgesetzt. Das Einzige, was ich neu hatte, war NEtpumper. Habe ich aber wieder deinstalliert. Könnt ihr mir bitte helfen?
Hier mein hijackthis log.
Logfile of HijackThis v1.99.1
Scan saved at 16:12:30, on 26.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\Se7ven\Desktop\HijackThis.exe
O2 - BHO: (no name) - {16E3C909-19A0-6B0F-AA6E-FD33A1161EB9} - C:\DOKUME~1\Se7ven\ANWEND~1\INSIDE~1\Size Ping.exe (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [oozebenddupeblah] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OPENGLUEOOZEBEND\Five obj.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Activedart] C:\DOKUME~1\Se7ven\ANWEND~1\INTRAH~1\MapiModeLogo.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1D20271-296C-470F-B80C-E77CE055A44D}: NameServer = 192.168.0.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe