Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Spyware geht nicht weg; iexplore.exe, XviDelg.dll, Trojan.BHO, loader.exe

Spyware geht nicht weg; iexplore.exe, XviDelg.dll, Trojan.BHO, loader.exe


Plagegeister aller Art und deren Bekämpfung: Spyware geht nicht weg; iexplore.exe, XviDelg.dll, Trojan.BHO, loader.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 30.06.2010, 19:09   #1
Lgtte
 
Spyware geht nicht weg; iexplore.exe, XviDelg.dll, Trojan.BHO, loader.exe - Standard

Spyware geht nicht weg; iexplore.exe, XviDelg.dll, Trojan.BHO, loader.exe


Hallo.

Seit gestern habe ich ein lästiges Schadprogramm auf dem Rechner, das nicht so einfach zu löschen ist. Es scheint sich um die Datei „iexplore.exe“ zu handeln, die plötzlich immer im taskmanager auftaucht, obwohl ich den IE garnicht benutze. Regelmäßig poppen auch IE-Fenster mit Werbung auf. Alle paar Minuten werden alle aktiven Fenster von selbst inaktiv, und wenn ich sie anklicke, um z.B. weiterschreiben zu können, schaltet sich der Wave-Output von selbst ganz runter und ich habe keinen Ton mehr.
Eine Logfileanalyse hat dann tatsächlich ein anscheinend chinesisches Programm gefunden, es gab eine smss.exe im lokalen Temp-Ordner, und zwei O2, eins ohne name und ohne Ordner, und eins CDNSCacheObj in WINDOWS mit Namen XviDelg.dll.
Ich habe, weil es sich um dasselbe Problem zu handeln schien, nach der Anleitung unter http://www.trojaner-board.de/28388-a...n-swizzor.html die Dateien im abgesicherten Modus gelöscht, gefixt, mit CCleaner alle Tempdateien gelöscht, mit deaktivierter Systemwiederherstellung neugestartet, Systemwiederherstellung wieder aktiviert. Eine 16-stellige *.job-Datei habe ich aber nicht gefunden, auch kein O4, das der Beschreibung entsprach, eben nur die O2. Vielleicht war es ein Fehler, wie bei swizzor vorzugehen, denn das Problem bestand nach der Prozedur immer noch. Das alte Logfile von vor dem Fix ist mir ärgerlicher Weise verlorengegangen, aber im Backup von HijackThis habe ich die Auskunt über die beiden gefixten Datei gefunden:
Code:
ATTFilter
O2 - BHO: CDNSCacheObj Object - {376892AE-1825-4E5F-9F85-23F9640051CC} - C:\WINDOWS\XviDplg.dll (file missing)
O2 - BHO: (no name) - {1FD79A59-37B1-459B-9097-09F9FAB8A523} - (no file)
Der Panda-Online-Scan erkannte heute nacht dann immer noch mehrere infizierte Ordner. Mittlerweile habe ich Malwarebyte durchlaufen lassen, hat drei Infizierungen gefunden und gelöscht, aber das Problem besteht immer noch. OTL habe ich versucht, herunterzuladen, lässt sich aber nicht installieren, immer erscheint eine Fehlermeldung.
Kann mir bitte jemand helfen, das Programm zu beseitigen? Ist es ein gefährliches Programm, was z.B. Daten und Manipulation betrifft, oder ist es in erster Linie einfach ein lästiges Werbespam-Programm? Ich poste mal chronologisch die Logfiles. Unter 'Running Processes' im letzten Logfile scheint iexplore.exe übrigens nicht aufzutauchen, aber im Taskmanager erscheint es unter dem Benutzernamen SYSTEM und arbeitet die ganze Zeit!
Vielen Dank für schnelle Hilfe!

Logfile Panda-scan:
Code:
ATTFilter
;***********************************************************************************************************************************************************************************
ANALYSIS: 2010-06-30 02:46:35
PROTECTIONS: 1
MALWARE: 5
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
AntiVir Desktop                              10.0.1.44                     Yes       No
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00005760  spyware/tooncom                    Spyware             No        1         Yes            No           c:\dokumente und einstellungen\******\lokale einstellungen\temp\loader.exe
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           c:\windows\system32\config\systemprofile\cookies\system@atdmt[1].txt
00168056  Cookie/YieldManager                TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\localservice\cookies\system@ad.yieldmanager[2].txt
00168090  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\localservice\cookies\system@serving-sys[2].txt
00168090  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\administrator\cookies\administrator@serving-sys[1].txt
00168093  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\localservice\cookies\system@bs.serving-sys[1].txt
00168093  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\administrator\cookies\administrator@bs.serving-sys[2].txt
;===================================================================================================================================================================================
SUSPECTS
Sent      Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity       Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================
Logfile Malwarebytes:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4260

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

30.06.2010 12:35:57
mbam-log-2010-06-30 (12-35-57).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 258763
Laufzeit: 1 Stunde(n), 35 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{376892ae-1825-4e5f-9f85-23f9640051cc} (Trojan.BHO) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Logfile Malwarebytes nach dem Löschen:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4260

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

30.06.2010 14:34:58
mbam-log-2010-06-30 (14-34-58).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 260286
Laufzeit: 1 Stunde(n), 38 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Hier noch ein aktuelles Logfile mit HijackThis:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:12:18, on 30.06.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Synaptics\SynTP\Toshiba.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox 3.5 Beta 4\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.mini20.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1ca110bc2c91170) (gupdate1ca110bc2c91170) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 5617 bytes
Geändert von Lgtte (30.06.2010 um 19:40 Uhr)

 

Themen zu Spyware geht nicht weg; iexplore.exe, XviDelg.dll, Trojan.BHO, loader.exe
ad.yieldmanager, administrator, center, datei, dateien, desktop, einstellungen, explorer, fehler, gelöscht, gupdate, hkus\s-1-5-18, iexplore.exe, infizierte, löschen, malwarebytes, malwarebytes' anti-malware, manipulation, microsoft, mozilla thunderbird, namen, nicht gefunden, plug-in, problem, schnelle hilfe, security, software, spyware, system32, systemwiederherstellung, taskmanager, temp-ordner, von selbst, werbung, windows


« ip addresse finden oder zurück verfolgen | iexplore.exe 3-mal im Task-Manager »


Ähnliche Themen: Spyware geht nicht weg; iexplore.exe, XviDelg.dll, Trojan.BHO, loader.exe


  1. Booten langsam, Drucker geht...geht nicht,Programme öffnen geht...geht nicht
    Plagegeister aller Art und deren Bekämpfung - 25.06.2015 (19)
  2. WTR- Loader funktioniert nicht
    Log-Analyse und Auswertung - 12.05.2011 (48)
  3. WTR Loader funktioniert nicht
    Log-Analyse und Auswertung - 27.04.2011 (11)
  4. Win XP nach Spyware Alert Attacke Rechner tot, selbst abges. Modi geht nicht
    Plagegeister aller Art und deren Bekämpfung - 28.12.2010 (1)
  5. Trojan.BHO, Spyware.Passwords.XGen, Trojan.Dropper und Trojan.Agent mit Malware gefunden
    Plagegeister aller Art und deren Bekämpfung - 20.12.2010 (9)
  6. Trojan-Downloder ? Geht nicht weg =(
    Mülltonne - 24.11.2010 (1)
  7. Trojan.Qhosts lassen sich mit Spyware Doctor nicht beseitigen!
    Plagegeister aller Art und deren Bekämpfung - 29.03.2010 (1)
  8. iexplore.exe + IE Startet plötzlich + FF leitet bei googel Suche um + AV geht nicht
    Plagegeister aller Art und deren Bekämpfung - 19.01.2010 (2)
  9. trojan-downloader.agent.ogp (geht nicht weg)
    Plagegeister aller Art und deren Bekämpfung - 19.05.2009 (15)
  10. Iexplore.exe verbindet sich (spyware?)
    Plagegeister aller Art und deren Bekämpfung - 25.03.2009 (0)
  11. n.exe und b.exe Spyware geht nicht weg!
    Plagegeister aller Art und deren Bekämpfung - 24.08.2008 (9)
  12. Trojan.LowZones geht nicht weg
    Plagegeister aller Art und deren Bekämpfung - 25.05.2008 (1)
  13. Spyware geht nicht weg! HiJack Log File dabei!
    Log-Analyse und Auswertung - 04.11.2007 (3)
  14. Trojan.Win32.Obfuscated.bl - Geht nicht weg
    Plagegeister aller Art und deren Bekämpfung - 16.01.2007 (4)
  15. Spyware ... geht nicht weg!
    Plagegeister aller Art und deren Bekämpfung - 27.10.2005 (5)
  16. Trojan.Qhosts geht einfach nicht ganz weg
    Log-Analyse und Auswertung - 10.04.2005 (2)
  17. Spyware geht nicht weg!
    Plagegeister aller Art und deren Bekämpfung - 27.03.2005 (4)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Spyware geht nicht weg; iexplore.exe, XviDelg.dll, Trojan.BHO, loader.exe - Hallo. Seit gestern habe ich ein lästiges Schadprogramm auf dem Rechner, das nicht so einfach zu löschen ist. Es scheint sich um die Datei „iexplore.exe“ zu handeln, die plötzlich immer - Spyware geht nicht weg; iexplore.exe, XviDelg.dll, Trojan.BHO, loader.exe...
Archiv
Du betrachtest: Spyware geht nicht weg; iexplore.exe, XviDelg.dll, Trojan.BHO, loader.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131