probleme mit explorer

#0
15.03.2009, 19:42
...neu hier

Beiträge: 6
#1 hallo leute,

hab leider vor ein paar tagen eine etwas dubiose datei geöffnet und wurde prompt bestraft (jaja kleine sünden.....^^) in dem der explorer angefangen hat zu spinnen. nach jedem neustart kommt eine meldung, dass ich ihn schließen müssen, ich drücke auf ok und er beginnt zu "flackern" kurzzeitig ist er da dann wieder weg solange bis ich im task manager einen prozess schließe dann ists wieder für ne weile stabil?!....

zudem öffnet sich im hintergrund ein iexplorer.exe, die sich nicht killen lässt

ab und an passierts nach ner zeit, dass die explorer.exe einen sehr hohen speicherauslastungswert aufweißt, der das komplette system ausbremst.

--

soweit zu meinen problemen, hab schon das hijackthis log file erstellt und soweit mir einleuchtend gefixed
ein paar stellen sind nur mit fragezeichen versehen:

C:\WINDOWS\System32\tabbtnu.exe
C:\Programme\HPQ\Q Menu\CpqMcSrV.exe#
O4 - HKLM\..\Run: [hpqMcSrv] "C:\Programme\HPQ\Q Menu\CpqMcSrV.exe" /Start
O20 - AppInit_DLLs: C:\WINDOWS\System32\dnsrslvr32.dll
O20 - Winlogon Notify: 48d83411553 - C:\WINDOWS\System32\dnsrslvr32.dll
O20 - Winlogon Notify: TabBtnWL - C:\WINDOWS\SYSTEM32\TabBtnWL.dll
O20 - Winlogon Notify: tpgwlnotify - C:\WINDOWS\SYSTEM32\tpgwlnot.dll

sollte diese auch gefixed werden?

--

hier im übrigen das gefixte logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:33:09, on 15.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\WISPTIS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\HPQ\IAM\bin\asghost.exe
C:\WINDOWS\System32\tabbtnu.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Ink\TCServer.exe
C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\SSC Service Utility\ssc_serv.exe
C:\Programme\Notebook Hardware Control\nhc.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\HPQ\Q Menu\CpqMcSrV.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\ScsiAccess.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HPQ\Shared\hpqwmi.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\explorer.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Dokumente und Einstellungen\tc4200\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SearchIt99 - {A155F976-57CE-485C-8526-2F477BD7B175} - C:\Dokumente und Einstellungen\All Users\Dokumente\SearchIt99\SearchIt99.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\HPQ\IAM\Bin\ItIeAddIN.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: SearchIt99 - {A155F976-57CE-485C-8526-2F477BD7B175} - C:\Dokumente und Einstellungen\All Users\Dokumente\SearchIt99\SearchIt99.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [SSC Service Utility] C:\Programme\SSC Service Utility\ssc_serv.exe /s
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Programme\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [hpqMcSrv] "C:\Programme\HPQ\Q Menu\CpqMcSrV.exe" /Start
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by101fd.bay101.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{880790D4-2511-4E5C-AD53-A7608D809920}: NameServer = 192.168.178.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\System32\dnsrslvr32.dll
O20 - Winlogon Notify: 48d83411553 - C:\WINDOWS\System32\dnsrslvr32.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: loginkey - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Ink\loginkey.dll
O20 - Winlogon Notify: OneCard - C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll
O20 - Winlogon Notify: TabBtnWL - C:\WINDOWS\SYSTEM32\TabBtnWL.dll
O20 - Winlogon Notify: tpgwlnotify - C:\WINDOWS\SYSTEM32\tpgwlnot.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\Shared\hpqwmi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\system32\ScsiAccess.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe






Vielen Danke schon mal für jede Antwort

danny ;)
Seitenanfang Seitenende
15.03.2009, 19:51
Member

Beiträge: 3716
#2 Hallo und willkommen, lass dir das eine Lehre sein ;-)
http://board.protecus.de/t23187.htm
genau abarbeiten, logs posten.
Seitenanfang Seitenende
15.03.2009, 21:33
...neu hier

Themenstarter

Beiträge: 6
#3 huhu

ok hab nochmal alle schritte ausgeführt
und die notwendigen log files im anhang zur begutachtung reingestellt
denke mal soweit läuft der kasten wieder ganz ok....
falls euch noch was auffallen sollte oder was man verbessern kann
wär ich dankbar

grüße danny



PS: hier noch der maleware-Scanbericht (bei sovielen scanns kann man schon mal den überblick verlieren..grade beim ersten mal sorry ;))

Blöd, dass man nur eine datei anhängen kann.. aus gründen der übersichtlichkeit wäre es sinnvoll mehrere zu gestatten.. so könnte man schön seine ganzen log files der reihe nach gliedern.. und hätte nicht so einen unübersichtlichen propf von undurchsehbaren daten (naja vllt fehlt uns anfängern aber auch einfach nur der goldene durchblick.. naja gogogo goldblicker und vergoldet unsere augen;))



>>>> malwarebericht siehe anhang weiter unten

Dieser Beitrag wurde am 15.03.2009 um 21:54 Uhr von dancapo editiert.
Seitenanfang Seitenende
15.03.2009, 21:48
Member

Beiträge: 3716
#4 was ist mit malwareBytes?
Seitenanfang Seitenende
15.03.2009, 21:50
...neu hier

Themenstarter

Beiträge: 6
#5 ... gedacht ... getan.... ;)
da du geantwortet hast kann ich hier ja auch per anhäng den malwarebericht reinstellen .. supi ;)

Seitenanfang Seitenende
15.03.2009, 21:56
Member

Beiträge: 3716
#6 hallo, ist ja doch n recht langes log, ich sehe es mir morgen an, hast du ncoh Probleme?
Seitenanfang Seitenende
15.03.2009, 21:59
...neu hier

Themenstarter

Beiträge: 6
#7 hm ne denke soweit funktioniert wieder alles
der hat ja einiges gefunden und läuft recht stabil...

vllt noch ne allgemeine frage... welches anitvirenprogramm sinnvoll wäre oder ob antivir reicht..
welche programme hast du so laufen als schutz und würdest du sonst noch was empfehlen außer den sachen die ich da jetzt durchgeführt habe? (macht iwie fun mit der zeit ;))

schon mal thx dan ;)
Seitenanfang Seitenende
15.03.2009, 22:05
Member

Beiträge: 3716
#8 ja, mache noch folgende online scans:
http://support.f-secure.de/ger/home/ols.shtml
funde löschen, log posten
Kaspersky:
www.kaspersky.com/de/virusscanner - 23k -
untersuchungsobjekt arbeitsplatz, log posten + neues hijackthis-log (beide scanner mit dem ie durchfüren)
Weitere tipps zum schluss.
Seitenanfang Seitenende
15.03.2009, 23:15
...neu hier

Themenstarter

Beiträge: 6
#9 komischerweise bleibt mein iexplorer immer hängen ?!

hab grade aktualisiert auf version 7 aber dennoch tut sich nichts
er startet ganz normal aber sobald man eine seite aufrufen will tut sich nix mehr und er bleibt hängen

Problemsignatur:
AppName: iexplore.exe AppVer: 7.0.6000.16791 ModName: unknown
ModVer: 0.0.0.0 Offset: 00f0dcf9

was is da denn los?^^
Seitenanfang Seitenende
16.03.2009, 12:48
Member

Beiträge: 3716
#10 na gut, weiter gehts:
sdfix laden, und punkt eins der Anleitung im abgesicherten Modus ausfüren.
http://virus-protect.org/artikel/tools/sdfix.html
und das log posten.
Seitenanfang Seitenende
16.03.2009, 15:10
...neu hier

Themenstarter

Beiträge: 6
#11 hey ok das werd ich gleich mal versuchen ab davor noch was anderes weil du mich gefragt hast ob ich noch weitere auffälligkeiten hätte:
öffters kommt mal spontaner absturz bluescreen.. und jetzt nach dem neustart: "Das System wird nach einem schwerwiegendem Fehler ausgeführt"

Problemsignatur:
BCCode : 1000000a BCP1 : 6C8BF36C BCP2 : 00000002 BCP3 : 00000000
BCP4 : 80505DAD OSVer : 5_1_2600 SP : 2_0 Product : 256_1

Problembericht:
C:\DOKUME~1\tc4200\LOKALE~1\Temp\WERa69f.dir00\Mini031609-02.dmp
C:\DOKUME~1\tc4200\LOKALE~1\Temp\WERa69f.dir00\sysdata.xml


Sollte ich diese 2 Dateien löschen?

--> ("einfach den ordner inhalt minidump löschen und in der Systemsteuerung/System die systemwiederhestellung deaktivieren") ????

greets
Dieser Beitrag wurde am 16.03.2009 um 15:14 Uhr von dancapo editiert.
Seitenanfang Seitenende
16.03.2009, 15:59
Member

Beiträge: 3716
#12 nein, wir reinigen erst mal deinen pc zu ende und sehen ob dann die probleme weg sind.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: