Home » Spyware & Browser Hijacker Support Forum » Explorer.exe doppelt in "Process list" von HJThis » Themenansicht
Explorer.exe doppelt in "Process list" von HJThis |
||
|---|---|---|
| #0
| ||
|
06.02.2007, 06:56
Member
Beiträge: 223 |
||
 
|
|
|
|
06.02.2007, 10:01
Ehrenmitglied
 Beiträge: 29434 |
#2
Geodät
1. Erstellen eines Hijackthis-Logfiles http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner ---> None of the above just start the program --> Scan -> Save log --> hijackthis.log - Save - es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" --------------------------------------------------------------- 2. Folgen den Anweisungen unter http://virus-protect.org/cleanup.html und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht) 3. combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
06.02.2007, 19:17
Member
Themenstarter Beiträge: 223 |
#3
Hallo !
Hier ist nun das Log von Combofix. Wie ist der Inhalt nun zu bewerten ? "Administrator" - Di 06.02.2007 19:12:56 Service Pack 4 ComboFix 07-02-06.3 - Running from: "C:\Dokumente und Einstellungen\Administrator\Desktop" ((((((((((((((((((((((((((((((( Files Created from 2007-01-06 to 2007-02-06 )))))))))))))))))))))))))))))))))) 2007-02-05 22:07 106 --a------ C:\delete.bat (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-01-02 18:23 552 --a------ C:\WINNT\system32\d3d8caps.dat (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "Registry Optimierer"="C:\\Programme\\software4u\\Registry Optimierer\\RegOptimierer.exe /d" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "3c1807pd"="C:\\WINNT\\SYSTEM32\\3cmlink.exe RunServices \\Device\\3cpipe-3c1807pd" "NvCplDaemon"="RUNDLL32.EXE C:\\WINNT\\system32\\NvCpl.dll,NvStartup" "nwiz"="nwiz.exe /install" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "NoChange"="1" "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce] "^SetupICWDesktop"="C:\\Programme\\Internet Explorer\\Connection Wizard\\icwconn1.exe /desktop" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "SoundMan"="SOUNDMAN.EXE" [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "internat.exe"="internat.exe" [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] rpcss REG_MULTI_SZ RpcSs\0\0 wugroup REG_MULTI_SZ wuauserv\0\0 BITSgroup REG_MULTI_SZ BITS\0\0 ******************************************************************** catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006 http://www.gmer.net scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 ******************************************************************** Completion time: Tue 2007-02-06 19:13:47 __________ Windows 7 Professional SP 1 -- FRITZ!Box Fon WLAN 7270 |
|
|
|
|
|
|
07.02.2007, 00:23
Ehrenmitglied
Beiträge: 29434 |
#4
Erstellen eines Hijackthis-Logfiles
http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner ---> None of the above just start the program --> Scan -> Save log --> hijackthis.log - Save - es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
07.02.2007, 06:50
Member
Themenstarter Beiträge: 223 |
#5
Log:
Logfile of HijackThis v1.99.1 Scan saved at 06:47:53, on 07.02.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\dmadmin.exe C:\WINNT\Explorer.EXE C:\WINNT\SYSTEM32\3cmlink.exe C:\WINNT\SYSTEM32\3cshtdwn.exe C:\WINNT\SYSTEM32\3cmlink.exe C:\WINNT\system32\rundll32.exe C:\WINNT\explorer.exe C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\hjt2000.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [3c1807pd] C:\WINNT\SYSTEM32\3cmlink.exe RunServices \Device\3cpipe-3c1807pd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKCU\..\Run: [Registry Optimierer] C:\Programme\software4u\Registry Optimierer\RegOptimierer.exe /d O17 - HKLM\System\CCS\Services\Tcpip\..\{F2389ED2-E238-415B-A1C7-51FF509A2A8C}: NameServer = 62.104.191.241 62.104.196.134 O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe Aber "schlimme" Einträge sind wohl nicht zu finden. Oder doch ? Viele Grüße "Geodät" __________ Windows 7 Professional SP 1 -- FRITZ!Box Fon WLAN 7270 |
|
|
|
|
|
|
07.02.2007, 10:48
Ehrenmitglied
Beiträge: 29434 |
#6
Geodät
der rechner war verseucht (siehe ein anderer Thread von dir ...und ist es immer noch....) kein Wunder ... kein Antivirenprogramm sichtbar... ...usw. usw... Ich empfehle dir, die Kiste zu formatieren , alles neu machen  das scheint mir die beste loesung in deinem fall, vor allem, nachdem ich mir die frueheren Verseuchungen noch mal angesehen habe.__________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
08.02.2007, 07:05
Member
Themenstarter Beiträge: 223 |
#7
Hallo Sabina,
Nur noch eine Frage mit Bitte einen Rat: Ist aus dem Log von combofix zu entnehmen, daß der Rechner hier "verseucht" ist ? Welcher Eintrag oder besser welche Einträge dort ist(sind) ein Hinweis darauf ? Danke die Hilfe ! G. __________ Windows 7 Professional SP 1 -- FRITZ!Box Fon WLAN 7270 |
|
|
|
|
|
|
08.02.2007, 11:13
Ehrenmitglied
Beiträge: 29434 |
#8
ich habe die Eintraege im HijackThis rot gekennzeichnet
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
08.02.2007, 18:29
Member
Themenstarter Beiträge: 223 |
#9
Wie sinnvoll sind den die unten aufgeführten neuen Einträge. Sie müßten die roten ersetzen.
--- Spybot - Search & Destroy version: 1.4 (build: 20050523) --- 2005-05-31 blindman.exe (1.0.0.1) 2005-05-31 SpybotSD.exe (1.4.0.3) 2005-05-31 TeaTimer.exe (1.4.0.2) 2006-08-27 unins000.exe (51.41.0.0) 2005-05-31 Update.exe (1.4.0.0) 2007-01-15 advcheck.dll (1.2.1.0) 2005-05-31 aports.dll (2.1.0.0) 2005-05-31 borlndmm.dll (7.0.4.453) 2005-05-31 delphimm.dll (7.0.4.453) 2005-05-31 SDHelper.dll (1.4.0.0) 2007-01-02 Tools.dll (2.0.1.0) 2005-05-31 UnzDll.dll (1.73.1.1) 2005-05-31 ZipDll.dll (1.73.2.0) 2007-01-12 Includes\Beta.sbi 2005-02-16 Includes\Beta.uti 2007-02-07 Includes\Cookies.sbi 2006-12-08 Includes\Dialer.sbi 2007-02-07 Includes\DialerC.sbi 2007-02-07 Includes\Hijackers.sbi 2007-02-07 Includes\HijackersC.sbi 2006-10-27 Includes\Keyloggers.sbi 2007-02-07 Includes\KeyloggersC.sbi 2007-01-12 Includes\Malware.sbi 2007-02-07 Includes\MalwareC.sbi 2007-01-19 Includes\PUPS.sbi 2007-02-07 Includes\PUPSC.sbi 2007-02-07 Includes\Revision.sbi 2006-12-08 Includes\Security.sbi 2007-02-07 Includes\SecurityC.sbi 2007-02-02 Includes\Spybots.sbi 2007-02-07 Includes\SpybotsC.sbi 2005-02-17 Includes\Tracks.uti 2006-12-08 Includes\Trojans.sbi 2007-02-07 Includes\TrojansC.sbi Spybot - Search & Destroy browser pages report, 08.02.2007 18:27:58 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Local Page http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page http://www.google.de/ HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Local Page http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Page http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Search_URL http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch __________ Windows 7 Professional SP 1 -- FRITZ!Box Fon WLAN 7270 |
|
|
|
|
|
|
08.02.2007, 23:54
Ehrenmitglied
Beiträge: 29434 |
#10
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Zitat R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blankPC neustarten lade die trial-version, scanne und poste den scanreport http://virus-protect.org/spysweeper.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
in der beigfügten "Process list" erscheint der Prozeß explorer.exe mit zwei
unterschiedlichen PIDs doppelt. Die zweite PID neben PID 672 ist nach jedem Neustart des Rechner eine andere.
Wie kann ich erreichen, daß explorer.exe als ein Prozeß erscheint ? Was ist Ursache für den doppelten Nachweis ?
Process list saved on 06:50:34, on 06.02.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
[pid] [full path to filename] [file version] [company name]
144 C:\WINNT\System32\smss.exe 5.0.2195.6601 Microsoft Corporation
188 C:\WINNT\system32\winlogon.exe 5.0.2195.6714 Microsoft Corporation
216 C:\WINNT\system32\services.exe 5.0.2195.6700 Microsoft Corporation
228 C:\WINNT\system32\lsass.exe 5.0.2195.6695 Microsoft Corporation
376 C:\WINNT\system32\svchost.exe 5.0.2134.1 Microsoft Corporation
392 C:\WINNT\system32\spoolsv.exe 5.0.2195.6659 Microsoft Corporation
420 C:\WINNT\System32\cisvc.exe 5.0.2134.1 Microsoft Corporation
436 C:\WINNT\System32\svchost.exe 5.0.2134.1 Microsoft Corporation
456 C:\WINNT\system32\nvsvc32.exe 6.14.10.5214 NVIDIA Corporation
496 C:\WINNT\System32\dmadmin.exe 2195.6624.297.3 VERITAS Software Corp.
672 C:\WINNT\Explorer.EXE 5.0.3700.6690 Microsoft Corporation
724 C:\WINNT\SYSTEM32\3cmlink.exe 1.21.1.1 3Com Corporation
784 C:\WINNT\SYSTEM32\3cshtdwn.exe 1.21.1.1 3Com Corporation
792 C:\WINNT\SYSTEM32\3cmlink.exe 1.21.1.1 3Com Corporation
832 C:\WINNT\system32\rundll32.exe 5.0.2134.1 Microsoft Corporation
904 C:\WINNT\explorer.exe 5.0.3700.6690 Microsoft Corporation
964 C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\hjt2000.exe 1.99.0.1 Soeperman Enterprises Ltd.
Im Taskmanager des OS taucht nur PID 672 auf.
Viele Grüße
"Geodät"
P.S. Hier ist noch eine Liste, die von SpybotSD erstellt wurde. Dort taucht explorer.exe einmal auf:
--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---
2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2006-08-27 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2007-01-15 advcheck.dll (1.2.1.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2007-01-02 Tools.dll (2.0.1.0)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2007-01-12 Includes\Beta.sbi
2005-02-16 Includes\Beta.uti
2007-02-02 Includes\Cookies.sbi
2006-12-08 Includes\Dialer.sbi
2007-02-02 Includes\DialerC.sbi
2006-11-24 Includes\Hijackers.sbi
2007-02-02 Includes\HijackersC.sbi
2006-10-27 Includes\Keyloggers.sbi
2007-02-02 Includes\KeyloggersC.sbi
2007-01-12 Includes\Malware.sbi
2007-02-02 Includes\MalwareC.sbi
2007-01-19 Includes\PUPS.sbi
2007-02-02 Includes\PUPSC.sbi
2007-02-02 Includes\Revision.sbi
2006-12-08 Includes\Security.sbi
2007-02-02 Includes\SecurityC.sbi
2007-02-02 Includes\Spybots.sbi
2007-02-02 Includes\SpybotsC.sbi
2005-02-17 Includes\Tracks.uti
2006-12-08 Includes\Trojans.sbi
2007-02-02 Includes\TrojansC.sbi
PID: 0 ( 0) [System]
PID: 144 ( 8) \SystemRoot\System32\smss.exe
PID: 168 ( 144) \??\C:\WINNT\system32\csrss.exe
PID: 188 ( 144) \??\C:\WINNT\system32\winlogon.exe
PID: 216 ( 188) C:\WINNT\system32\services.exe
size: 89360
MD5: 03CC747AA4AD167C6423E08E30B72285
PID: 228 ( 188) C:\WINNT\system32\lsass.exe
size: 39184
MD5: 05884C12FC5EC3841737D70313E608EC
PID: 376 ( 216) C:\WINNT\system32\svchost.exe
size: 7952
MD5: 094F0E779FAECB9452CE5CDA48E6FEDF
PID: 392 ( 216) C:\WINNT\system32\spoolsv.exe
size: 45328
MD5: 2DFCD427B65C63476BAB69CF036DFA86
PID: 420 ( 216) C:\WINNT\System32\cisvc.exe
size: 5392
MD5: EACDF78F16ECE6DEDCD4895349BB6D66
PID: 436 ( 216) C:\WINNT\System32\svchost.exe
size: 7952
MD5: 094F0E779FAECB9452CE5CDA48E6FEDF
PID: 456 ( 216) C:\WINNT\system32\nvsvc32.exe
size: 81920
MD5: 8D9A1A8FBCEF1B62C8282A209E4A6EE6
PID: 496 ( 216) C:\WINNT\System32\dmadmin.exe
size: 147728
MD5: 3A34589D062D2D9E54EF28E07DF87638
PID: 672 ( 664) C:\WINNT\Explorer.EXE
size: 245008
MD5: 9A067872F0A9DC15E93DBEFC9E1453A7
PID: 724 ( 672) C:\WINNT\SYSTEM32\3cmlink.exe
size: 49152
MD5: F1C247182D2884832521FDD5BCE80C02
PID: 784 ( 724) C:\WINNT\SYSTEM32\3cshtdwn.exe
size: 69702
MD5: 0DA3BAD83473FCEFC611BF48A9C121BB
PID: 792 ( 724) C:\WINNT\SYSTEM32\3cmlink.exe
size: 49152
MD5: F1C247182D2884832521FDD5BCE80C02
PID: 832 ( 764) C:\WINNT\system32\rundll32.exe
size: 10000
MD5: CE6FF54FAC44FFDE364F1DFC5E59C43E
PID: 548 ( 420) C:\WINNT\System32\cidaemon.exe
size: 9488
MD5: 5D4C2E11C0F9E857CD9209C9D0C2CC3A
PID: 816 ( 672) C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
size: 4393096
MD5: 09CA174A605B480318731E691DC98539
PID: 8 ( 0) System
__________
Windows 7 Professional SP 1 -- FRITZ!Box Fon WLAN 7270