Trojaner-Board - Hilfe iexplore.exe?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Hilfe iexplore.exe? (https://www.trojaner-board.de/34994-hilfe-iexplore-exe.html)

Hilfe iexplore.exe?

Hallo ich hab seit 3 Tagen durchgehend ein Programm namens iexplore.exe im Hintergrund zu laufen das sich nicht ausschalten lässt. Habe schon sehr viele antivir und spyware Programme durchlaufen lassen die auch immer wieder etwas gefunden haben doch es anscheinend nicht löschen konnten da es bei jedem Durchlauf wieder da war. Dieser iexplore.exe steigert sich manchmal auf bis zu 3 Programme die im Hintergund laufen und mein normaler anti vir guard hat ab und zu einen error worauf sich auch der explorer.exe verabschiedet und sich mein PC neu startet. Habe bereits wie in einigen anderen Foren erwähnt diverse Anti- Vir- Programme (Spybot, Ad- aware) im abgesicherten modus bei deaktivierter Systemwiederherstellung laufen lassen die jedoch den virus auch nicht löschen konnten. Ihr seid meine letzte Hoffnung :( hier ist noch mein Hijack log:

Logfile of HijackThis v1.99.1
Scan saved at 15:38:22, on 05.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Hijack\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: (no name) - {3073FB23-FBE7-C1B0-47EB-CE4A4CEBAA30} - browsebar.dll (file missing)
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: (no name) - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Microsoft Explorer - {E1D720DC-3612-8AA5-41B1-FF359B4FAC04} - C:\WINDOWS\system32\msrctlg.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [Shaitan1678] driver64.exe
O4 - HKLM\..\Run: [systemdll] Uint32.exe
O4 - HKLM\..\Run: [dmnlj.exe] C:\WINDOWS\system32\dmnlj.exe
O4 - HKLM\..\Run: [boycm.exe] C:\WINDOWS\system32\boycm.exe
O4 - HKLM\..\Run: [dmyjq.exe] C:\WINDOWS\system32\dmyjq.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [prgsys0984] Brong32.exe
O4 - HKCU\..\Run: [EXE32EXE] br0ken.exe
O4 - HKCU\..\Run: [keybdll] msag.exe
O4 - HKCU\..\Run: [KillAndClean] "C:\Programme\KillAndClean\KillAndClean.exe"
O4 - HKCU\..\Run: [Fraps] C:\FRAPS\FRAPS.EXE
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: MS_update_0612_KB74062.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{16619C68-3EE6-4FFD-92D8-1811D2C80C3B}: NameServer = 85.255.113.126,85.255.112.102
O17 - HKLM\System\CCS\Services\Tcpip\..\{17A67E4A-194C-454F-B4D7-3398A4F47F73}: NameServer = 85.255.113.126,85.255.112.102
O17 - HKLM\System\CCS\Services\Tcpip\..\{676CF9D8-312A-4E29-A483-ABFF654050B7}: NameServer = 85.255.113.126,85.255.112.102
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.126 85.255.112.102
O17 - HKLM\System\CS2\Services\Tcpip\..\{16619C68-3EE6-4FFD-92D8-1811D2C80C3B}: NameServer = 85.255.113.126,85.255.112.102
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.113.126 85.255.112.102
O17 - HKLM\System\CS3\Services\Tcpip\..\{16619C68-3EE6-4FFD-92D8-1811D2C80C3B}: NameServer = 85.255.113.126,85.255.112.102
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.126 85.255.112.102
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: IEFilter - {BD9D92E5-36AF-4D92-852D-D38A4E8567D9} - C:\WINDOWS\system32\IEFilter.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Service - Unknown owner - C:\WINDOWS\system32\Service.exe

Sry aber deine Internetverbindung geht über einen Server in der Ukraine.
In diesem Fall muss das System neu aufgesetzt werden um ein weiterhin sicheres arbeiten zu gewärleisten.
das machst du am besten nach der nachfolgend genannten Anleitung: http://www.trojaner-board.de/12154-a...sicherung.html
Das sieht man übrigens daran:

O17 - HKLM\System\CCS\Services\Tcpip\..\{16619C68-3EE6-4FFD-92D8-1811D2C80C3B}: NameServer = 85.255.113.126,85.255.112.102
O17 - HKLM\System\CCS\Services\Tcpip\..\{17A67E4A-194C-454F-B4D7-3398A4F47F73}: NameServer = 85.255.113.126,85.255.112.102
O17 - HKLM\System\CCS\Services\Tcpip\..\{676CF9D8-312A-4E29-A483-ABFF654050B7}: NameServer = 85.255.113.126,85.255.112.102
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.126 85.255.112.102
O17 - HKLM\System\CS2\Services\Tcpip\..\{16619C68-3EE6-4FFD-92D8-1811D2C80C3B}: NameServer = 85.255.113.126,85.255.112.102
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.113.126 85.255.112.102
O17 - HKLM\System\CS3\Services\Tcpip\..\{16619C68-3EE6-4FFD-92D8-1811D2C80C3B}: NameServer = 85.255.113.126,85.255.112.102
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.126 85.255.112.102

So habe PC nach der Anleitung Formatiert und das Problem ist gelöst wobei es mich jedoch sehr wundert wie mein Internet so einfach über einen Ukrainischen Server gehen kann :confused:. Naja wie auch immer, vielen Dank :) .

Bittesehr.
Falls es dich noch interessiert:
Deine Internet Verbindung geht nicht einfach so über diesen Ukrainischen Server. Deine Internetverbindung wurde von einem Trojaner oder ähnlichem auf diesen Server umgeleitet.
Ein böser Eintrag ist z.B.:
O23 - Service: Service - Unknown owner - C:\WINDOWS\system32\Service.exe

Das könnte z.B. der W32/Rbot-WZ sein dazu wieder ein Link: : W32/Rbot-WZ - Spyware-Wurm - Sophos Bedrohungsanalyse

Hi,
also ich hatte das gleiche Probleme.
Mein AVG hatte ne Virusmeldung und zeichnete die Datei iexpolre.exe als Trojaner PSW.Generic4.SID aus.
Nach mehrmaligen Ausführen diverser Antispyware hatte auch AVG nichtsmehr gefunden. Jedoch kann man sich ja nicht 100% sicher sein. Ich poste mal meine Hijackthis logfile , vielleicht fällt ja jemanden etwas auf.

Logfile of HijackThis v1.99.1
Scan saved at 15:06:54, on 18.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\1XConfig.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam10\QuickCam10.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\programme\steam\steam.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis_199\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SAMSUNG Keydefin] C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime