Home » Viren, Trojaner & Malware Forum » iexplore.exe zieht ständig 41'000K.wie löschbar? » Themenansicht

iexplore.exe zieht ständig 41'000K.wie löschbar?
#0
03.04.2007, 21:01
bam
Member

Beiträge: 18
#1 Habe iexplore.exe im meinem Taskmanager/Prozesse entdeckt.

Wie kann ich diesen löschen ?

Anbei den Text aus listen.bat
----------------------------
C:\Dokumente und Einstellungen\INTEL\Desktop>cd\

C:\>dir "C:\Programme" 1>>files.txt
Zugriff verweigert

C:\>dir "C:\Dokumente und Einstellungen\INTEL\Lokale Einstellungen\Anwendungsdat
en" 1>>files.txt
Zugriff verweigert

C:\>dir "C:\Dokumente und Einstellungen\INTEL\Anwendungsdaten" 1>>files.txt
Zugriff verweigert

C:\>dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" 1>>files.txt

Zugriff verweigert

C:\>dir "C:\Programme\Gemeinsame Dateien" 1>>files.txt
Zugriff verweigert

C:\>dir "C:\Winnt\tasks" 1>>files.txt
Zugriff verweigert

C:\>notepad files.txt

Zusätzlich noch das Logfile
--------------------------
Logfile of HijackThis v1.99.1
Scan saved at 20:57:16, on 03.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rmctrl.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Dokumente und Einstellungen\INTEL\Startmenü\Programme\Autostart\MSWin-761926084.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\INTEL\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [2] "c:\dokume~1\intel\lokale~1\temp\2.tmp"
O4 - Startup: MSWin--943869060.exe
O4 - Startup: MSWin-761926084.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
Seitenanfang Seitenende
03.04.2007, 21:11
Chris4You
Member
Avatar Chris4You

Beiträge: 694
#2 Hallo,

bitte den Rest noch abarbeiten:

Zitat

Zitat:
http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles (komplett!)
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)
Was ich bisher erkennen kann:
O4 - HKCU\..\Run: [2] "c:\dokume~1\intel\lokale~1\temp\2.tmp"
O4 - Startup: MSWin--943869060.exe
O4 - Startup: MSWin-761926084.exe
Regedit disabled, etc.

fehlen aber noch die restlichen Infos, bitte unbedingt posten...

chris
Seitenanfang Seitenende
03.04.2007, 23:01
bam
Member

Themenstarter

Beiträge: 18
#3 Hallo chris4you

Wie gewünscht! Hoffe ich habe alles abgearbeitet !

Gruss
bam

Logfile of HijackThis v1.99.1
Scan saved at 22:25:09, on 03.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rmctrl.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\bale\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://securitylist.net/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe



╔══════════════════════════════════════════════════════════════════╗
║ ║
║ DISCLAIMER OF WARRANTY ON SOFTWARE. ║
║ ║
║ THE SOFTWARE IS PROVIDED 'AS IS', WITHOUT WARRANTY OF ANY KIND ║
║ ALL IMPLIED WARRANTIES ARE EXPRESSLY DISCLAIMED. ║
║ ║
╠══════════════════════════════════════════════════════════════════╣
║ ║
║ This tool is meant for private use & should never be used in an ║
║ unsupervised environment. If infections are found, it will ║
║ automatically reboot windows to complete the removal process. ║
║ ║
║ PLEASE ENSURE ALL OPENED WINDOWS ARE CLOSED BEFORE PROCEEDING. ║
║ ║
║ Do not close this window or it may leave you with a blank ║
║ desktop. If you have to Exit, type '2' below ... ║
║ ║
╚══════════════════════════════════════════════════════════════════╝
-----------------------------------------------------------------------------------------------------------------

TYPE 1 to continue, or 2 to abort. _

Datentr„ger in Laufwerk C: ist Laufwerk
Volumeseriennummer: 3439-7AB9

Verzeichnis von C:\WINDOWS\system32

07-04-02 21:36 2,206 wpa.dbl
07-03-31 17:22 139,264 javaws.exe
07-03-31 17:22 135,168 javaw.exe
07-03-31 17:22 69,632 javacpl.cpl
07-03-31 17:22 135,168 java.exe
07-03-25 15:52 314,644 perfh009.dat
07-03-25 15:52 40,972 perfc009.dat
07-03-25 15:52 320,424 perfh007.dat
07-03-25 15:52 49,372 perfc007.dat
07-03-25 15:52 732,342 PerfStringBackup.INI
06-07-17 21:54 65 BD7010.dat
05-12-26 12:21 2,550 Uninstall.ico
Datentr„ger in Laufwerk C: ist Laufwerk
Volumeseriennummer: 3439-7AB9

Verzeichnis von C:\DOKUME~1\bale\LOKALE~1\Temp

07-04-03 22:45 512 ~DF46EC.tmp
07-04-03 22:45 512 ~DF438B.tmp
2 Datei(en) 1,024 Bytes
0 Verzeichnis(se), 54,587,457,536 Bytes frei
Datentr„ger in Laufwerk C: ist Laufwerk
Volumeseriennummer: 3439-7AB9

Verzeichnis von C:\WINDOWS

07-04-03 22:30 373 wiadebug.log
07-04-03 22:16 0 0.log
07-04-03 22:16 50 wiaservc.log
07-04-03 22:16 2,048 bootstat.dat
07-04-03 22:15 85,880 WindowsUpdate.log
06-11-05 22:01 419,512 setupapi.log
06-07-17 21:54 416 BRWMARK.INI
06-04-17 21:05 25,433 wmsetup.log
06-02-26 15:15 400 ODBC.INI
06-01-01 22:56 0 OpPrintServer.INI
05-12-26 20:43 1,519 OEWABLog.txt
05-12-26 12:21 32 pavsig.txt
Datentr„ger in Laufwerk C: ist Laufwerk
Volumeseriennummer: 3439-7AB9

Verzeichnis von C:\WINDOWS\temp
Datentr„ger in Laufwerk C: ist Laufwerk
Volumeseriennummer: 3439-7AB9

Verzeichnis von C:\WINDOWS\Downloaded Program Files

05-12-17 15:10 0 ppv5exc.dat
05-12-02 12:12 65 desktop.ini
05-11-11 09:28 135,168 asinst.dll
05-10-14 13:20 525 asinst.inf
05-09-13 14:44 479 pestscanx.inf
Datentr„ger in Laufwerk C: ist Laufwerk
Volumeseriennummer: 3439-7AB9

Verzeichnis von C:\

07-04-03 22:52 0 sys.txt
07-04-03 22:51 1,000 down.txt
07-04-03 22:51 112 tmp.txt
07-04-03 22:51 4,320 system.txt
07-04-03 22:50 331 systemtemp.txt
07-04-03 22:49 90,799 system32.txt
07-04-03 22:16 267,964,416 hiberfil.sys
07-04-03 22:16 402,653,184 pagefile.sys
05-12-26 01:13 211 boot.ini
Seitenanfang Seitenende
04.04.2007, 08:25
Chris4You
Member
Avatar Chris4You

Beiträge: 694
#4 Hallo,

prüfe mal ob Du die Commandshell öffnen kannst!

Dann fixe mit Hijackthis diesen Eintrag:

Zitat

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://securitylist.net/
Neu booten...

Folgende Dateien überprüfen lassen:
C:\WINDOWS\system32\javaws.exe
C:\WINDOWS\system32\javaw.exe
C:\WINDOWS\system32\java.exe
C:\WINDOWS\system32\javacpl.cpl

Zitat

virustotal

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html
Poste die Logs...

Scann dann noch mit
Kaskpersky OnlineScanner
http://www.kaspersky.com/de/virusscanner

Gruß,
Chris
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1