| |
| |||||||
Log-Analyse und Auswertung: iexplore.exe startet unaufgefordert und im Hintergrund automatisch!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
08.07.2010, 21:59
| #1 |
| |  iexplore.exe startet unaufgefordert und im Hintergrund automatisch! Hallo und da dies mein erster Beitrag hier ist entschuldige ich mich schonmal in voraus für meine Fehler. Betriebssystem Windows XP SP2 Prof. Als Virenschutz habe ich Avira (kostenlose Version) Viren fande ich bei einer Prüfung keine. Problem: Seit c.a einer Woche startet immer der Internet Explorer (iexplore.exe) unaufgefordert. Ich habe ihn fast nie benutzt, aktualisiert oder anderes. Allerdings wird in der blauen Windows-Leiste kein Internet Explorer angezeigt und ist anscheinend versteckt. Meistens öffnet sich auf Werbung von irgendwelchen Browser-Spielen... ------------------------------------------------------------------------- Außerdem schaltet sich der Ton immer nach c.a einer Minute aus. ( Lautstärkereglung-> Der Wave Regler ist ganz unten und schaltet sich auch nach einer Verschiebung automatisch wieder nach unten. ) Hier mal mein HJT LOG: HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:53:49, on 08.07.2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\D-Link\AirPlus G\AirGCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Avira\AntiVir Desktop\avshadow.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\dllhost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: PREAT IE LightFrame - {43D29D14-460E-4F3A-9037-E60F11EF12F0} - C:\WINDOWS\system32\LightFrameIECOM.dll O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html O8 - Extra context menu item: Free YouTube Download - C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - hxxp://ccfiles.creative.com/Web/softwareupdate/su/ocx/15101/CTSUEng.cab O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - hxxp://ccfiles.creative.com/Web/softwareupdate/su/ocx/15110/CTPID.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file) O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe (file missing) O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: FLEXnet Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (file missing) O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programme\Java\jre6\bin\jqs.exe (file missing) O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - C:\Programme\Autodesk\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Sandboxie Service (SbieSvc) - Unknown owner - C:\Programme\Sandboxie\SbieSvc.exe (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe -- End of file - 6770 bytes |
|
09.07.2010, 08:51
| #2 |
| | iexplore.exe startet unaufgefordert und im Hintergrund automatisch! Bitte ich brauch eine Lösung
__________________ |
|
09.07.2010, 11:03
| #3 |
| /// Malware-holic   | iexplore.exe startet unaufgefordert und im Hintergrund automatisch! ja, hilfe will hier wohl jeder, und es gibt nur ne begrenzte anzahl von helfern. nach 11 stunden noch keine antwort erhalten zu haben ist daher nicht unbedingt ein zeichen das wir dich vergessen haben. vergiss bitte nicht, das ist hier in unserer freizeit.
__________________bitte esage lab - resources herunterladen. Entpacke den bitte entpacke das archiv in einen eigenen ordner. doppelklick in dem ordner auf remove.exe. Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. poste das ergebniss |
|
09.07.2010, 12:57
| #4 |
| | iexplore.exe startet unaufgefordert und im Hintergrund automatisch! OK habs gemacht da wurde was gefunden ich weiß aber jetzt nicht was ich damit machen soll. Bootkit Remover version 1.0.0.1 (c) 2009 eSage Lab esage lab - main \\.\C: -> \\.\PhysicalDrive0 MD5: 454f8f8f464d74f8b4b6306cbff41597 Size Device Name MBR Status -------------------------------------------- 37 GB \\.\PhysicalDrive0 Unknown boot code Unknown boot code has been found on some of your physical disks. To inspect the boot code manually, dump the master boot sector: remover.exe dump <device_name> [output_file] To disinfect the master boot sector, use the following command: remover.exe fix <device_name> Press any key to quit... |
|
09.07.2010, 13:11
| #5 |
| /// Malware-holic | iexplore.exe startet unaufgefordert und im Hintergrund automatisch! start ausführen, cmd.exe kopiere rein. START remover.exe fix \\.\PhysicalDrive0 enter remover.exe sollte starten. wenn fertig, starte neu und führe remover.exe aus, poste das ergebniss |
|
09.07.2010, 13:14
| #6 |
| | iexplore.exe startet unaufgefordert und im Hintergrund automatisch! also ich hab mal ein bisschen nachgeguckt (auch im thread von Honki) Da hab ich das befolgt was du auch geschrieben hast und das Problem den Boot gefixt. Hier mal die Info von remover.exe nach dem Fix. Bootkit Remover version 1.0.0.1 (c) 2009 eSage Lab esage lab - main \\.\C: -> \\.\PhysicalDrive0 MD5: 6def5ffcbcdbdb4082f1015625e597bd Size Device Name MBR Status -------------------------------------------- 37 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found) Press any key to quit... |
|
09.07.2010, 13:21
| #7 |
| /// Malware-holic | iexplore.exe startet unaufgefordert und im Hintergrund automatisch! bitte führe keine andern schritte mehr aus, woher soll ich sonst wissen was du gemacht hast. download malwarebytes: Malwarebytes instalieren, öffnen, registerkarte aktualisierung, programm updaten. schalte nun alle laufenden programme ab, auch den avira guard. trenne die internet verbindung durch das ziehen des netzwerkabels, bzw schalte wlan ab, starte nun nen komplett scan, funde löschen, log posten. |
|
09.07.2010, 15:39
| #8 |
| | iexplore.exe startet unaufgefordert und im Hintergrund automatisch! Ok ich hab mein System jetzt mit dem besagten Malwarebytes durchsuchen lassen. 1 Fund (Trojaner) welchen ich dann gleich gelöscht hab. Hier der Log: ----------------------------- Malwarebytes' Anti-Malware 1.36 Datenbank Version: 1945 Windows 5.1.2600 Service Pack 2 09.07.2010 16:31:57 mbam-log-2010-07-09 (16-31-57).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 121327 Laufzeit: 1 hour(s), 32 minute(s), 50 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinSys2 (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\WinSys2.exe (Trojan.Agent) -> Quarantined and deleted successfully. ---------------------------------------------- Danke für deine Hilfe 'markusg'^^ Der Internet Explorer öffnet sich jetzt überhaupt nicht mehr (jedenfalls seit den letzten Stunden) Allerdings kann ich davon ausgehen das dieses Problem und das Soundproblem jetzt behoben ist. Zur Sicherheit warte ich noch ein paar Tage. Nur noch eins: Gestern machte ich mit Avira eine Virenprüfung und fand dabei 5 Trojaner O.O. Mit dem von heute machen das 6. Da ich denke das mein Sys jetzt clean ist habe ich doch einige Bedenken und frage euch mit was man kostenlos eine vollständige Virenprüfung machen könnte? PS: Danke dass ihr euch eure Freizeit nehmt um mir zu helfen  Geändert von mmarkus (09.07.2010 um 15:44 Uhr) |
|
09.07.2010, 15:43
| #9 |
| /// Malware-holic | iexplore.exe startet unaufgefordert und im Hintergrund automatisch! jo, und nun update das programm, dann wird eine neue version eingespielt, dann update es noch mal, für die neue datenbank version und dann scanne erneut. |
|
09.07.2010, 16:04
| #10 |
| | iexplore.exe startet unaufgefordert und im Hintergrund automatisch! Diese Version habe ich bewusst genommen, da bei den neueren Versionen immer diese Fehlermeldung erscheint falls ich es starte. Wenn ich es update ist es ja auch wieder eine neuere Version und geht nicht mehr. Mbam_Error_Expanding_Variables(0,9) Geändert von mmarkus (09.07.2010 um 16:09 Uhr) |
|
09.07.2010, 18:17
| #11 |
| /// Malware-holic | iexplore.exe startet unaufgefordert und im Hintergrund automatisch! avira avira so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm. klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten. |
|
| Themen zu iexplore.exe startet unaufgefordert und im Hintergrund automatisch! |
| 0 bytes, 32-bit, antivir, antivir guard, automatisch, avg, avira, bho, bonjour, canon, computer, desktop, einstellungen, firefox, frame, google, gupdate, hijack, hijackthis, hkus\s-1-5-18, iexplore.exe, internet, internet explorer, kein internet, mozilla, rundll, schutz, security, software, sound, werbung, windows, windows xp |
