iexplorer.exe hijackthisLOG liegt bei

#1 Hallo allerseits. KURZE WARNUNG --> MEIN ERSTER POST HIER <----- NICHT BÖSE SEIN, falls ich was falsch mach.

Die iexplrer.exe läuft bei mir al sProzess im Hintergrund und wenn ich sie beende, startet sie einfach wieder.
Das Problem tritt zum ersten Mal bei mir auf. das System habe ich vor einer Wocher erst neu aufgesetzt. Das Einzige, was ich neu hatte, war NEtpumper. Habe ich aber wieder deinstalliert. Könnt ihr mir bitte helfen?

Hier mein hijackthis log.

Logfile of HijackThis v1.99.1
Scan saved at 16:12:30, on 26.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\Se7ven\Desktop\HijackThis.exe

O2 - BHO: (no name) - {16E3C909-19A0-6B0F-AA6E-FD33A1161EB9} - C:\DOKUME~1\Se7ven\ANWEND~1\INSIDE~1\Size Ping.exe (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [oozebenddupeblah] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OPENGLUEOOZEBEND\Five obj.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Activedart] C:\DOKUME~1\Se7ven\ANWEND~1\INTRAH~1\MapiModeLogo.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1D20271-296C-470F-B80C-E77CE055A44D}: NameServer = 192.168.0.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

#2 das ist der LOP- Swizzor/Trojaner, von dir selbst geladen (wahrscheinlich der netpumper oder Messenger 3 Plus )
look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint
http://virus-protect.org/zip/look.zip
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Was kann der anstellen????
Hier der TEXT


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6808-E5DC

Verzeichnis von C:\Dokumente und Einstellungen\Se7ven\Anwendungsdaten

25.07.2006 03:35 <DIR> Adobe
26.07.2006 01:20 <DIR> CYBERL~1 CyberLink
22.07.2006 04:03 <DIR> ICQLite
22.07.2006 01:15 <DIR> IDENTI~1 Identities
24.07.2006 00:00 <DIR> INTRAH~1 Intra Htm Wipe
22.07.2006 02:54 <DIR> Lavasoft
22.07.2006 04:02 <DIR> MACROM~1 Macromedia
22.07.2006 01:53 <DIR> Mozilla
23.07.2006 23:19 <DIR> Sun
24.07.2006 22:19 <DIR> TEAMSP~1 teamspeak2
22.07.2006 02:52 <DIR> TUNEUP~1 TuneUp Software
0 Datei(en) 0 Bytes
11 Verzeichnis(se), 18.709.655.552 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6808-E5DC

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

22.07.2006 02:25 305 ADDR_F~1.HTM addr_file.html
23.07.2006 02:11 <DIR> Adobe
23.07.2006 02:21 <DIR> ADOBES~1 Adobe Systems
26.07.2006 15:36 <DIR> ANTIVI~1 AntiVir PersonalEdition Classic
26.07.2006 04:28 <DIR> BALMFI~1 Balm First Frag Multi
22.07.2006 02:58 <DIR> CYBERL~1 CyberLink
24.07.2006 00:00 <DIR> OPENGL~1 OPENGLUEOOZEBEND
22.07.2006 02:51 <DIR> TUNEUP~1 TuneUp Software
22.07.2006 03:03 <DIR> WINDOW~1 Windows Genuine Advantage
1 Datei(en) 305 Bytes
8 Verzeichnis(se), 18.709.655.552 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6808-E5DC

Verzeichnis von C:\WINDOWS\tasks

26.07.2006 16:00 264 AF0C5DA391EBD707.job
23.08.2001 14:00 65 desktop.ini
27.07.2006 00:31 6 SA.DAT
3 Datei(en) 335 Bytes
0 Verzeichnis(se), 18.709.655.552 Bytes frei

#4 se7ven

Information Swizzor
http://virus-protect.org/artikel/spyware/lop1.html

---------------------------------------------------------------------

1.
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

2.
PC neustarten (in den abgesicherten Modus) --> F8 drücken, wenn der PC hochfährt
das ist notwendig, denn im Normalmodus kann man die Dateien nicht löschen

3.
Loeschen:

C:\Dokumente und Einstellungen\Se7ven\Anwendungsdaten\Intra Htm Wipe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Balm First Frag Multi
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OPENGLUEOOZEBEND

C:\WINDOWS\tasks\AF0C5DA391EBD707.job

---------------------------------------------------------------------

4.
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {16E3C909-19A0-6B0F-AA6E-FD33A1161EB9} - C:\DOKUME~1\Se7ven\ANWEND~1\INSIDE~1\Size Ping.exe (file missing)
O4 - HKLM\..\Run: [oozebenddupeblah] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OPENGLUEOOZEBEND\Five obj.exe
O4 - HKCU\..\Run: [Activedart] C:\DOKUME~1\Se7ven\ANWEND~1\INTRAH~1\MapiModeLogo.exe

5.
boote wieder in den Normalmodus

6.
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften ---> Reiter Systemwiederherstellung ---> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren)

7.
CleanUp
http://virus-protect.org/cleanup.html

8.
Counterspy --> löscht die Eintraege in der Registry von MessengerPlus! 3 und Netpumper
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:
*Remove

9.
scanne mit Panda und lösche alles manuell, was noch angezeigt wird
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Vielen Dank, euer Bord ist echt super.Ich werde das gleich ausprobieren.

EDIT:
Ich habe alles so gemacht, wie von dir beschrieben. Panda findet nichts mehr und der Prozess läuft auch nicht mehr im Hintergrund.
Allerdings konnte ich die Datei C:\WINDOWS\tasks\AF0C5DA391EBD707.job NICHT ausfindig machen. Dementsprechend konnte ich sie auch nicht löschen.
Ist das schlimm?

#6 Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h AF0C5DA391EBD707.job
del AF0C5DA391EBD707.job

- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal
__________
MfG Sabina

rund um die PC-Sicherheit

#7 hab ich gemacht, danke dir