Trojaner-Board - iexplore.exe!!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - iexplore.exe!! (https://www.trojaner-board.de/17149-iexplore-exe.html)

ich weiss das es zum internet explorer gehört nur ich habe diese exe 3mal unter meinen prozesse drinne, woran kann das liegen?
virus?
windows fehler?

bitte hilfe

Erstelle einen Log mittels Hijackthis un poste ihn hier im Forum:

www.hjt.klaffke.de

Logfile of HijackThis v1.99.1
Scan saved at 01:58:47, on 28.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdoesrv.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\Programme\Adsubtract\AdSub.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:1030
O3 - Toolbar: AdSubtract Toolbar - {F14AABDD-0232-4e5a-9B52-4178AC0A62B5} - C:\WINDOWS\system32\adsubtb.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [BDMCon] C:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BDNewsAgent] C:\progra~1\softwin\bitdef~1\bdnagent.exe
O4 - Startup: AdSubtract.lnk = C:\Programme\Adsubtract\AdSub.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: AdSubtract: Bypass Site - res://C:\Programme\Adsubtract\AdSub.exe/360
O8 - Extra context menu item: AdSubtract: Cloak Image - res://C:\Programme\Adsubtract\AdSub.exe/361
O8 - Extra context menu item: AdSubtract: Report Site - res://C:\Programme\Adsubtract\AdSub.exe/359
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

Log zeigt erstmal keine gravierenden Auffälligkeiten.Dennoch zur Sicherheit mal folgendes durchführen.Es gibt auch Malware, die eben diesen Namen trägt

Check dein System mit Escan.Bitte die Anleitung genau beachten, dazu gehört u.a. das der Scan im abgesicherten Modus durchgeführt wird.
Teile uns die Ergebnisse mit, dazu:

Zitat:

Zitat von haui45

Speichere außerdem diese Datei mittels Rechtsklick-> "Ziel speichern unter..." auf deiner Festplatte. Führe sie nach dem Scan mit eScan aus (Doppelklick). Danach solltest du die Datei C:\eScan_neu.txt auf deiner Festplatte finden. Den Inhalt dieser Datei postest du dann bitte in diesen Thread.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Apr 28 02:19:14 2005 => System found infected with BearShare Spyware/Adware ({9f95f736-0f62-4214-a4b4-caa6738d4c07})! Action taken: No Action Taken.
Thu Apr 28 02:19:14 2005 => File System Found infected by "BearShare Spyware/Adware" Virus. Action Taken: No Action Taken.
Thu Apr 28 02:19:14 2005 => System found infected with BearShare Spyware/Adware ({558ec983-bedb-9168-b2de-31dbf0ee543e})! Action taken: No Action Taken.
Thu Apr 28 02:19:14 2005 => File System Found infected by "BearShare Spyware/Adware" Virus. Action Taken: No Action Taken.
Thu Apr 28 02:34:45 2005 => Scanning Folder: C:\Programme\Softwin\BitDefender8\Infected\*.*
Thu Apr 28 02:46:14 2005 => File C:\System Volume Information\_restore{E187DAA8-4CB8-43F2-8DDE-A49A88DED6BC}\RP10\A0001900.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken.
Thu Apr 28 02:46:14 2005 => File C:\System Volume Information\_restore{E187DAA8-4CB8-43F2-8DDE-A49A88DED6BC}\RP10\A0001901.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken.
Thu Apr 28 02:46:14 2005 => File C:\System Volume Information\_restore{E187DAA8-4CB8-43F2-8DDE-A49A88DED6BC}\RP10\A0001903.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken.
Thu Apr 28 02:46:14 2005 => File C:\System Volume Information\_restore{E187DAA8-4CB8-43F2-8DDE-A49A88DED6BC}\RP10\A0001904.dll infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken.
Thu Apr 28 02:47:23 2005 => File C:\System Volume Information\_restore{E187DAA8-4CB8-43F2-8DDE-A49A88DED6BC}\RP2\A0000017.dll infected by "Trojan.Win32.Delf.d" Virus. Action Taken: No Action Taken.
Thu Apr 28 03:13:13 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statisktiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Apr 28 03:13:13 2005 => Total Virus(es) Found: 7
Thu Apr 28 03:13:13 2005 => Total Errors: 3
Thu Apr 28 03:13:13 2005 => Time Elapsed: 00:57:00
Thu Apr 28 03:13:13 2005 => Total Objects Scanned: 29240
Wed Apr 27 07:59:24 2005 => Virus Database Date: 2005/04/18
Thu Apr 28 02:15:25 2005 => Virus Database Date: 2005/04/18
Thu Apr 28 03:13:13 2005 => Virus Database Date: 2005/04/18
Thu Apr 28 03:48:52 2005 => Virus Database Date: 2005/04/18
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

P.S: ich habe in diesem thread Hier auch schonmal escan von mir gepostet, ich habe alles so gemacht wie beschrieben halt bearshare komplett von festplatte deinstalled und alles aus reg gelöscht was mit bearshare zu tun hatte, nur ich kann nicht auf dem "System Volume Information" ordner drauf zu greiffen, darum weiss ich nicht wie ich die jenigen dateien löschen soll, bitte aussführlich erklären bin newbie :)

@ville
lade spybot download
und adaware download
beide programme updaten.
systemwiederherstellung deaktivieren, in den abgesicherten modus wechslen,
spybot und danach adaware scannen lassen. löschen was vorgeschlagen wird.
neu booten, systemwiederherstellung aktivieren

chaosman