explorer.exe versucht verbindung zu dubioser website aufzubauen

#1 Hallo Experten,

kurz vorweg:
ich bin schwer sehbehindert und arbeite so mit der software virgo, die tief ins system eingebunden ist und dafür sorgt, daß ich den bildschirm beliebig vergrößern kann und eine sprachausgabe bekommen.

Mein system zur zeit:
Windows xp proffesional vor 2 Tage upgedatet,
Antivir premium edition neuster stand, spy sweeper 4.0 neuster stand, firewall outpost pro neuste version

Vor drei tagen bekam ich plötzlich sehr viele viren bzw. trojaner warnungen jede stunde sofern internetverbindung bestand.
antivir hat diese erkannt und ins quarantäne verzeichnis verbannt.
ich habe kontakt mit support von antivir aufgenommen, dennen ein hijack file geschickt, hier waren 2 angeblich virulente einträge die geelöscht wurden .
Anschließen systemwiederherstllung abgeschaltet, virenlauf im abgesicherten modus, alles clean, dann neustart.
virenmeldungen kamen wieder . erneut hijacck durchgeführt an support gesendet, angeblich keinen verdächtigen eintrag gefunden. dann von support ein tool supportcolector bekoommen anhand deren auswertung sie wohl mehr erkennen könnnen.
antwort suppport, system inist clean, aber nicht upgedates und windows firewall ist nicht an, außerdem sollte ich spy sweeper wieder deinstallieren.
Anmerkung nach installation von spysweeper hat dieser internetverbindungen zu bekannten malewareseiten unterbunden und dann kamen weniger virenmeldungen.
All die empfhelung von antivir support habe ich durchgeführt.
Resultat immernoch virenmeldungen.
Dann habe ich hier im forum gelesen, daß outpost pro eine gute firewall ist, die man sehr gut einstellen kann.
Diese habe ich installiert auf der höchsten sicherheitsstufe.
Dann habe ich die przesse stückchenweise mit regeln versehen oder komplett freigegeben.
bei der vorlageregelerstelung für explorer, die auch TCP verbindungen zu http seiten zuläßt kam es dann wieder zu virenmeldugne. dann habe ich die regel geändert und diesen zugriff blockiert.
Im log file der Blockierungen kann man jetzt sehen, daß der prozess explorer.exe versucht eine internetverbindung zu der dubiosen seite 33.xingaide8.cn aufzubauen.
seit dem ich das unterbunden habe kommt keinen einzige virenmeldung mehr.
Hier ist scheinbar der übeltäter zu suchen.
ich habe jetzt vorsichtshalber noch einmal einen virenscann im abgesicherten modus durchgeführt, keine funde.
aber damit ist natürlich noch nicht der eigentlich übeltäter gefunden, denn der muß noch irgendwo auf meinem system sitzen, derenn er versucht ja jede minute neu ins internet zu kmommen und mir dann von der o.g. seite nette kleinen tierchen zuzusenden.
ich habe mal im system nach der explorer.exe gesucht aber nur einene MOMexplorer.exe gefunden, was meiner meinung nach ok ist, denn meine o.g. sehbehinderten software verändert diesen, damit die inhalte für die sprachausgbe ausgegeben werden können. das ist insofern ok.
Sicherheitshalber habe ich die MOMexplorer.exe mal an virustotal geschickt. ergebniss keine infizierte datei.
so jetzt bin ich erst einmal mit meinem Latein am Ende.
wie kann ich jetzt rausfinden wo der ursprung des Problems sitzt.
Da ich mit dem rechner Aktiengeschäfte tätige ist es sehr wichtig für mich, daß hier nichts anbrennt.
Neukaufsetzen des Rechners ist sehr aufwendig, aber natürlich machbar, aber die letzee lösung.
ich würde mir da vorher erst einen parallelrechner anschaffen und den frisch aufsetzen, bevor ich den alten platt mache.
ist für mich eben ein sehr wichtiges Arbeitsmittel.

Hat hier einer eine idee, wie man weiter vorgehen kann,
Gibt es programme mit denen man alless loggen kann. aus den logfiles solte doch eigentlich ersichtbar sein, wer oder was genau versucht jede minute diese verbindung aufzubauen.

Für eure hilfe wäre ich sehr sehr dankbar.
Eins noch, ich bin kein spezialist und u.u. durch meine behinderung etwas eingeschränkt, denn den rchner im abgesciherten modus zu bedienen geht nur mit sehender hilfe, da ich nicht vergrößern kann.

mfg kitenteddy

#2 Bitte das hier abarbeiten
http://board.protecus.de/t23188.htm

danach kann man mehr sagen

#3 Eine Rückfrage zu combofix:
hier sollen ja alle anwendugen geschlossen werden.
meine Firewall, mein antivirus und meine software virgo die ich brauche um meinen rechner als sehbdinderter zu bediennen kann ich nicht schließen. die ersten beidnen würden wahrscheinlich zum sofortigen vireneinfall führen.
ist es wirklich zwingend ntwendig, daß ich das tool ausführe.
Ich will mir nicht noch weitere Probleme einfangen, denn ich brauche den rechner unbedingt morgen funktionsfähig.
kann ich diesen punkt erst einmal überspringen ?
bzw. die oben genannten programme laufen lassen natürlich nur im hintergrund.

gruß kitenteddy

#4 Hm dann lassen wir combofix erst mal aus.
Ich teste bei mir mal ob das auch mit aktiver firewall und antivirenschuitz klappt.
Was ich nicht verstehe das avira premium paket enthält doch schon eine firewall.

#5 Kleiner Einwurf hier. Deine Programme kannst du laufen lassen. Problem ist, das du auf Spezialsoftware angewiesen bist. In diesem Fall st eine Daensicherung oder vieleicht sogar ein Komplettbackup wichtig, nicht das du nach der Reinigung ohne deine benoetigte Software da stehst. Nicht, das ich davon ausgehe, das das passiert, aber man sollte es nicht ganz ausschliessen!
__________
MfG Ralf
SEO-Spam Hunter

#6 Also habs mal getestet scheinbar beendet combofix störende prozesse selbständig.
Das heisst eventuell würd deine spezial software ausgeknipst.
Was aber kein problem sein sollte nach einem neustart is ja alles wieder da.
Also combofix starten abwarten und danach nen neustart ausführen.

Das mit dem backup deines systems bzw der spezialsoftware is ne gute idee.

Das deine windows firewall nicht aktiv ist liegt wohl auch an der avira software die schaltet die windows firewall ab. damit nur eine firewall aktiv ist.

#7 erst einmal danke für die Antworten,
also wenn es euch nichts ausmacht, werde ich combofix erst einmal nicht ausführen, denn wenn mein rechner am Montag nicht läuft und bisher tut er das ja , dann kann es für mich seehr teuer werden. Auch wenn es komisch klingt, da ziehe ich es lieber vor den rechner so zu belassen, denn momentan kommt ja nichts mehr durch und kaufe mir einen neuenn, setzte den parallel auf und dann kann ich mit dem alten rumprobieren. Das wäre kein Problem dauer natürlich.
Also das Risiko mit combofix gehe ich nciht ein.

Das mit dem backup ist ne gute idee, die hatte ich schon gestern und habe ein image mit rueimage 10 gezogen.
eigentlich hatte ich mich gestern schon entschlossen, mein altes image von der grundaufstellung meines Rechner zurückzuspielen, aber wie das so ist, hat man ein problem, bekommt man gleich ein neues dazu.
true image hat bei der wiederherstellung Rechner runtergefahren und dann so beim wiederhochfahren die für das rückschreiben erforderlichen dateien in den speicher geladen. dabei kamm es zu einem unbekannten fehler und das war es dann. könnte sein, daß das etwas mit meinen keyboooard und Monitor umschalter zu tun hat, aber ich hatte keine lust mehr das noch zu probieren, denn kabel umstecken ist für mich fast unmöglich.
Glücklicherweise ist das ja alles passeirt bevor die festplatte formatiert wurde, so daß ich den rechner wieder normal starten konnte.
also mit image zurückschreiben ist scheinbar nicht s einfach und ich würde mich jetzt nicht darauf verlassen. Ohne sehende hilfe meines Sohnes ist das ohnhin nicht möglich.

aber villeicht kommen wir ja so weiter.

ich habe mal ein hijackthis logfile erstellt.

Vielleicht seht Ihr ja etwas was der antivr support nicht sieht.
Übrigens das avira ne firewall hat wußte ich nicht. war vielelicht ein fehler meinerseits ich ahbe Antivir Personal premium edition.

hier das logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:26:32, on 30.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Agnitum\Outpost Firewall\outpost.exe
C:\Programme\Cyberlink\Shared files\RichVideo.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Buhl\Börse 2007\bin\watchdog.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\JMRaidSetup.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe
C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programme\CyberLink\PowerCinema\PCMService.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Trendnet\USBKVM Switcher\USBKVM.exe
C:\Programme\Virgo471\VNTWCD.exe
C:\Programme\Virgo471\Phoenix.exe
C:\PROGRA~1\Virgo471\MOM2srv.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\Programme\Virgo471\PHXUI.EXE
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Webroot\Spy Sweeper\SSU.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Downloads\hijack\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] "C:\WINDOWS\system32\JMRaidSetup.exe" boot
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LVCOMSX] "C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [PCSuiteTrayApplication] "C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE" -startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [SpySweeper] C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe /startintray
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PcSync] "C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: USBKVM Switcher.lnk = C:\Programme\Trendnet\USBKVM Switcher\USBKVM.exe
O4 - Global Startup: Virgo 4.71.lnk = C:\Programme\Virgo471\VNTWCD.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_10\bin\npjpi142_10.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_10\bin\npjpi142_10.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1190993715577
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
O23 - Service: WisoBoerseWatchDog - market maker Software AG - C:\Programme\Buhl\Börse 2007\bin\watchdog.exe

--
End of file - 9756 bytes

#8 Also erst mal mein fehler !
korrekt die premium persenel edition is ohne firewall
Nur die Avira Premium Security Suite die ich benutze ist mit firewall.

Sorry