Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: IEXPLORER.EXE / Swizzor will nicht weg!!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 18.02.2007, 15:10   #1
xenus
 
IEXPLORER.EXE / Swizzor will nicht weg!! - Standard

IEXPLORER.EXE / Swizzor will nicht weg!!



Hallo

Erstmal meinen Log:

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 16:03:23, on 18.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
c:\progra~1\intern~1\iexplore.exe
F:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P36 "EPSON Stylus DX4800 Series (Kopie 1)" /O6 "USB003" /M "Stylus DX4800"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://H:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2EF98DE5-183F-11D4-83EC-EC6A1DB6E213} (DynaGeoX Element) - http://www.dynageo.de/download/dynageoviewer.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166794125640
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7C4D5BB-FA1B-4331-8BEE-9FAB6701CCE2}: NameServer = 192.168.178.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Process Monitor (LVPrcSrv) - Unknown owner - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe (file missing)
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: NBService - Nero AG - F:\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
So ich hab ja nun rausgefunden das dieser IEXPLORER.EXE - Prozess eine Spyware oder so ähnlich ist (Auch Swizzor genannt)..

Hab natürlich erstmal mir die Anleitungen angeschaut etc.
Aber ich finde keine O2 oder O4 Einträge die wegmüssten. Und NetPumper ist komischer Weise auch schon weg...

Kann mir bitte jemand helfen ...
Diese blöde .exe verschlingt ziemlich viel Ram -.-

Danke für jeden Tipp

xenus

Alt 18.02.2007, 17:23   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
IEXPLORER.EXE / Swizzor will nicht weg!! - Standard

IEXPLORER.EXE / Swizzor will nicht weg!!



Zitat:
So ich hab ja nun rausgefunden das dieser IEXPLORER.EXE - Prozess eine Spyware oder so ähnlich ist (Auch Swizzor genannt)..
Ich seh in deinem Logfile aber keine iexplorer.exe, sondern die normale executable zum Internet Explorer:
Zitat:
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
Ich seh auch sonst nichts Böses im Logfile.
Zitat:
Diese blöde .exe verschlingt ziemlich viel Ram -.-
Vllt. solltest du einfach mal den IE beenden
Ansonsten würde ich vorschlagen, die Festplatte auf Schädlinge zu prüfen. Z.B. mit eScan.
__________________

__________________

Alt 19.02.2007, 14:06   #3
xenus
 
IEXPLORER.EXE / Swizzor will nicht weg!! - Beitrag

IEXPLORER.EXE / Swizzor will nicht weg!!



Huhu

Natürlich ist der Internet-Explorer nicht an (so ein ein sch*** benutz ich nicht)

Aber es kommen andauert Werbeeinblendungen...

Ad-Aware hat nichts gebracht...

Außerdem tritt der Prozess 2x auf.

Beides mal gleiche schreibweise IEXPLORE.EXE !! Der eine verschlingt ca 60MB Ram und das nervt sowas von ...

Bitte helft mir doch ^^

Hab derzeit eine Avast-Überprüfung laufen

MFG

xenus
__________________

Alt 19.02.2007, 14:13   #4
felix1
/// Helfer-Team
 
IEXPLORER.EXE / Swizzor will nicht weg!! - Standard

IEXPLORER.EXE / Swizzor will nicht weg!!



Zitat:
Außerdem tritt der Prozess 2x auf.

Beides mal gleiche schreibweise IEXPLORE.EXE !! Der eine verschlingt ca 60MB Ram und das nervt sowas von ...
Im Taskmanager einfach mal den Prozess IEXPLORER.EXE, der so eine hohe Speicherauslastung von 60MB hat, beenden und dann schauen, ob er sich wieder von selbst neu startet. Das ist schon ein sehr verdächtiges Anzeichen für einen Virus/Trojaner.


Alt 19.02.2007, 14:28   #5
xenus
 
IEXPLORER.EXE / Swizzor will nicht weg!! - Standard

IEXPLORER.EXE / Swizzor will nicht weg!!



Ja deshalb wende ich mich ja an euch ^^

Weil genau das passiert der Prozess startet von neuem und verschlingt wieder soviel RAM..

Wie gesagt AntivirusScan mit Avast! läuft ...

Warte nun das Ergebnis ab..

MfG
xenus


Alt 19.02.2007, 14:37   #6
nochdigger
 
IEXPLORER.EXE / Swizzor will nicht weg!! - Standard

IEXPLORER.EXE / Swizzor will nicht weg!!



Hallo

mache bitte mal alle versteckten Datein und Ordner sichtbar und lade dir Silentrunners(zip File)
und lasse es dein System scannen, anschließend poste das Log.

Kopiere den folgenden Text :

Zitat:
cd\
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt
in den Editor (Start - Programme - Zubehör - Editor) und als Ordner.bat mit 'Speichern unter' auf dem Desktop ablegen und gebe bei Dateityp 'Alle Dateien' an,
du solltest jetzt auf dem Desktop diese Datei finden --> Ordner.bat --> dann die Ordner.bat doppelt klicken (nur 1x) --> unter C:\files.txt findest du die Informationen die uns nun interssieren,
kopiere den Text ab und poste in hierher.

MFG

Alt 19.02.2007, 14:50   #7
xenus
 
IEXPLORER.EXE / Swizzor will nicht weg!! - Standard

IEXPLORER.EXE / Swizzor will nicht weg!!



So ok hab ich gemacht.

Hier der Silentrunners-Bericht:

Zitat:
"Silent Runners.vbs", revision R50, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Creative Detector" = "C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R" ["Creative Technology Ltd"]
"Vgabait" = "C:\DOKUME~1\ADMINI~1\ANWEND~1\INTRAB~1\mixrectjoy.exe" [null data]

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTSysVol" = "C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r" ["Creative Technology Ltd"]
"UpdReg" = "C:\WINDOWS\UpdReg.EXE" ["Creative Technology Ltd."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RunDLL32.exe NvMCTray.dll,NvTaskbarInit" [MS]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"Logitech Hardware Abstraction Layer" = "KHALMNPR.EXE" ["Logitech Inc."]
"LVCOMSX" = "C:\WINDOWS\system32\LVCOMSX.EXE" ["Logitech Inc."]
"EPSON Stylus DX4800 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"" ["SEIKO EPSON CORPORATION"]
"EPSON Stylus DX4800 Series (Kopie 1)" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P36 "EPSON Stylus DX4800 Series (Kopie 1)" /O6 "USB003" /M "Stylus DX4800"" ["SEIKO EPSON CORPORATION"]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Megaupload Toolbar"
\InProcServer32\(Default) = "C:\Programme\MegauploadToolbar\megauploadtoolbar.dll" ["MegaUpload"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_10\bin\ssv.dll" ["Sun Microsystems, Inc."]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Sign-in Helper"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{3028902F-6374-48b2-8DC6-9725E775B926}" = "IE Microsoft AutoComplete"
-> {HKLM...CLSID} = "IE Microsoft AutoComplete"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band"
-> {HKLM...CLSID} = "History Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "H:\MICROS~1\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "H:\MICROS~1\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "H:\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {HKLM...CLSID} = "AlcoholShellEx"
\InProcServer32\(Default) = "F:\ALCOHO~1\ALCOHO~1\axshlex.dll" ["Alcohol Soft Development Team"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{400CFEE2-39D0-46DC-96DF-E0BB5A4324B3}" = "My Logitech Pictures"
-> {HKLM...CLSID} = "My Logitech Pictures"
\InProcServer32\(Default) = "C:\Programme\Logitech\Video\Namespc2.dll" ["Logitech Inc."]
"{A5110426-177D-4e08-AB3F-785F10B4439C}" = "Sony Ericsson Datei-Manager"
-> {HKLM...CLSID} = "Sony Ericsson Datei-Manager"
\InProcServer32\(Default) = "C:\Programme\Sony Ericsson\Mobile\File Manager\fmgrgui.dll" ["Sony Ericsson Mobile Communications AB"]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

"SynchronousMachineGroupPolicy" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"SynchronousUserGroupPolicy" = (REG_DWORD) hex:0x00000000
{unrecognized setting}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]


Enabled Scheduled Tasks:
------------------------

"A4BC5DA69187CFEA" -> launches: "c:\dokume~1\admini~1\anwend~1\intrab~1\DaleBikeEggs.exe" [null data]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}"
-> {HKLM...CLSID} = "Megaupload Toolbar"
\InProcServer32\(Default) = "C:\Programme\MegauploadToolbar\megauploadtoolbar.dll" ["MegaUpload"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}" = (no title provided)
-> {HKLM...CLSID} = "Megaupload Toolbar"
\InProcServer32\(Default) = "C:\Programme\MegauploadToolbar\megauploadtoolbar.dll" ["MegaUpload"]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "H:\MICROS~1\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.5.0_10"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_10\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_10"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll" ["Sun Microsystems, Inc."]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

avast! Antivirus, avast! Antivirus, ""C:\Programme\Alwil Software\Avast4\ashServ.exe"" [null data]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Programme\Alwil Software\Avast4\aswUpdSv.exe"" [null data]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
Creative Service for CDROM Access, Creative Service for CDROM Access, "C:\WINDOWS\system32\CTsvcCDA.EXE" ["Creative Technology Ltd"]
LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]
MWAgent, MWAgent, "C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE" ["MicroWorld Technologies Inc."]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
SQL Server (SQLEXPRESS), MSSQL$SQLEXPRESS, ""c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS" [MS]
StarWind iSCSI Service, StarWindService, "F:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe" ["Rocket Division Software"]
WMDM PMSP Service, WMDM PMSP Service, "C:\WINDOWS\system32\MsPMSPSv.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
EPSON Stylus DX4800 Series 2KMonitor5E\Driver = "E_FLMADE.DLL" ["SEIKO EPSON CORPORATION"]
Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


----------
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 63 seconds, including 22 seconds for message boxes)
Und der Andere Bericht:

Zitat:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3CA4-B4F6

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

22.11.2006 16:23 <DIR> Adobe
16.11.2006 19:30 <DIR> Adobe Systems
12.02.2007 06:58 <DIR> flaw proxy help seek
28.12.2006 16:11 0 LauncherAccess.dt
28.01.2007 10:31 <DIR> Macromedia
21.11.2006 16:19 <DIR> Microsoft Help
21.11.2006 16:20 <DIR> nView_Profiles
05.01.2007 16:37 <DIR> Sony Ericsson
21.12.2006 16:48 <DIR> TechSmith
08.12.2006 06:54 <DIR> Windows Genuine Advantage
1 Datei(en) 0 Bytes
9 Verzeichnis(se), 57.835.474.944 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3CA4-B4F6

Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten

07.12.2006 15:03 <DIR> Adobe
22.11.2006 16:24 <DIR> AdobeUM
16.11.2006 19:19 <DIR> Ahead
19.02.2007 15:47 <DIR> Azureus
16.11.2006 18:35 <DIR> Creative
20.11.2006 20:04 <DIR> Dev-Cpp
22.12.2006 22:37 <DIR> dvdcss
14.01.2007 19:50 <DIR> DynaGeo
24.11.2006 11:45 <DIR> Gearbox Software
15.11.2006 19:14 <DIR> ICQLite
15.11.2006 18:54 <DIR> Identities
01.01.2007 03:26 <DIR> InstallShield
24.11.2006 21:38 <DIR> InstallShield Installation Information
12.02.2007 06:58 <DIR> intra bash
13.02.2007 20:48 <DIR> Lavasoft
19.12.2006 20:34 <DIR> Logitech
28.01.2007 12:10 <DIR> Macromedia
02.02.2007 13:10 <DIR> MegauploadToolbar
15.11.2006 19:31 <DIR> Mozilla
02.02.2007 13:11 <DIR> NetPumper
30.11.2006 21:41 <DIR> Opera
17.12.2006 12:26 <DIR> Real
24.01.2007 06:45 <DIR> SmartSurfer
07.12.2006 15:03 <DIR> Sun
15.11.2006 19:31 <DIR> Talkback
20.01.2007 19:59 <DIR> teamspeak2
15.11.2006 19:31 <DIR> Thunderbird
18.12.2006 16:37 <DIR> uk.co.planetside
17.11.2006 17:25 <DIR> vlc
23.01.2007 17:26 <DIR> WEBDE
03.01.2007 21:01 <DIR> Webweaver
0 Datei(en) 0 Bytes
31 Verzeichnis(se), 57.835.470.848 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3CA4-B4F6

Verzeichnis von C:\Windows\tasks
Weiß zwar nicht ganz was das alles so angibt ^^ (vllt. kann mir das jemand in einer ruhigen Minute erklären.)

MfG

xenus

Alt 19.02.2007, 15:13   #8
nochdigger
 
IEXPLORER.EXE / Swizzor will nicht weg!! - Standard

IEXPLORER.EXE / Swizzor will nicht weg!!



Hallo nochmal

ich würde sagen wir haben grad Premiere, es ist der erste mir bekannte Fall wo Swizzor komplett versteckt läuft.

Diese Prozesse scheinen versteckt zu laufen :
C:\DOKUME~1\ADMINI~1\ANWEND~1\INTRAB~1\mixrectjoy .exe
c:\dokume~1\admini~1\anwend~1\intrab~1\DaleBikeEg gs.exe

Deinstalliere den Netpumper über Start -> Einstellungen -> Systemsteuerung -> Software

Wechsle in den Abgesicherten Modus (beim start F8 drücken) und lösche die Ordner :
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\flaw proxy help seek
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\intra bash

Neustart in den Normalen Modus und berichte bitte ob es noch Probleme gibt.

MFG

Alt 19.02.2007, 17:43   #9
xenus
 
IEXPLORER.EXE / Swizzor will nicht weg!! - Standard

IEXPLORER.EXE / Swizzor will nicht weg!!



Juhu es ist geschaft *freu*

Der Prozess ist weg

Wunderbar danke , echt geniales Forum hier !!

MfG

xenus

Alt 19.02.2007, 20:20   #10
irrlicht
 
IEXPLORER.EXE / Swizzor will nicht weg!! - Standard

IEXPLORER.EXE / Swizzor will nicht weg!!



Zitat:
ich würde sagen wir haben grad Premiere, es ist der erste mir bekannte Fall wo Swizzor komplett versteckt läuft.
Darauf habe ich schon ein ganzes Weilchen gewartet....
Jetzt wird es richtig lustig...
Irrlicht

Alt 20.02.2007, 04:38   #11
nochdigger
 
IEXPLORER.EXE / Swizzor will nicht weg!! - Standard

IEXPLORER.EXE / Swizzor will nicht weg!!



Moin

ich fürchte auch , aber solange der Swizzor "so" zu entfernen geht.

MFG

Alt 18.05.2010, 13:54   #12
sssimon
 
IEXPLORER.EXE / Swizzor will nicht weg!! - Standard

IEXPLORER.EXE / Swizzor will nicht weg!!



Guten Tag ,
Ich habe das selbe Problem wie bereits genannt, jedoch kenne ich mich ziemlich wenig mit Computern aus und weiß nicht wie ich das Problem beheben soll. Mein Laptop hat im Taskmanager eine iexplorer.exe welche wenn man sie löscht nach ein paar Sekunden wieder auftaucht. Ich wäre euch sehr dankbar wenn mir jemand eine genau Anleitung geben könnte.
Vielen Dank schon mal im vorraus.

Antwort

Themen zu IEXPLORER.EXE / Swizzor will nicht weg!!
administrator, adobe, antivirus, avast, avast!, bho, desktop, drivers, einstellungen, excel, explorer, helper, hijack, hijackthis, iexplorer.exe, internet, internet explorer, monitor, mssql, prozess, rundll, software, spyware, swizzor, system, träge, usb, will nicht, windows, windows xp



Ähnliche Themen: IEXPLORER.EXE / Swizzor will nicht weg!!


  1. Swizzor kann nicht entfernt werden!
    Log-Analyse und Auswertung - 11.11.2010 (10)
  2. IEXPLORER.exe lässt sich nicht beenden
    Log-Analyse und Auswertung - 02.02.2009 (3)
  3. Swizzor.A oder nicht?? Hilfe pls :(
    Mülltonne - 26.11.2008 (0)
  4. iexplorer schließt sich nicht, tracking cookies gehen nicht weg
    Plagegeister aller Art und deren Bekämpfung - 11.08.2008 (1)
  5. IEXPLORER.EXE lässt sich nicht beenden
    Plagegeister aller Art und deren Bekämpfung - 30.06.2008 (3)
  6. TR/Dldr.Swizzor.Gen und TR/Dldr.Swizzor.AG.2 bitte Log durchsehen, wenn jemand Zeit h
    Mülltonne - 26.01.2008 (0)
  7. IExplorer Prozesse schliessen sich nicht im Tm.
    Log-Analyse und Auswertung - 07.09.2007 (12)
  8. Hilfe! TR/DLdr.Swizzor.Gen geht nicht zu löschen!
    Log-Analyse und Auswertung - 15.06.2007 (8)
  9. PROZESS iexplorer.exe verschwindet nicht
    Mülltonne - 11.03.2007 (1)
  10. Kann Trojaner nicht entfernen (Swizzor?, Netpumper?)
    Plagegeister aller Art und deren Bekämpfung - 24.12.2006 (1)
  11. TR/Swizzor.A Trojaner geht nicht weg!!!
    Log-Analyse und Auswertung - 29.04.2006 (2)
  12. Nicht zu beendende iexplorer.exe
    Plagegeister aller Art und deren Bekämpfung - 23.10.2005 (7)
  13. iExplorer startet nicht mehr
    Plagegeister aller Art und deren Bekämpfung - 01.09.2005 (1)
  14. Iexplorer mag nicht mehr - Hilfe
    Alles rund um Windows - 21.07.2005 (0)
  15. agent.is, swizzor.co und neuinstalation nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 30.05.2005 (5)
  16. Dateien nicht löschbar + Iexplorer..
    Plagegeister aller Art und deren Bekämpfung - 02.01.2005 (8)
  17. Downloader.Swizzor lässt mich nicht in ruhe!
    Plagegeister aller Art und deren Bekämpfung - 11.11.2004 (2)

Zum Thema IEXPLORER.EXE / Swizzor will nicht weg!! - Hallo Erstmal meinen Log: Zitat: Logfile of HijackThis v1.99.1 Scan saved at 16:03:23, on 18.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe - IEXPLORER.EXE / Swizzor will nicht weg!!...
Archiv
Du betrachtest: IEXPLORER.EXE / Swizzor will nicht weg!! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.