Trojaner-Board - ratlos .... IEXPLORE.EXE schädling

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - ratlos .... IEXPLORE.EXE schädling (https://www.trojaner-board.de/47299-ratlos-iexplore-exe-schaedling.html)

ratlos .... IEXPLORE.EXE schädling

Hallo zusammen

Da dies mein erster post in einem netz forum ist , bitte ich um nachsicht falls ich mich ein wenig dumm anstelle .

zu meinem problem ....
Vor einigen Tagen bemerkte ich in meinem Task Manager 2 neue Prozesse namens IEXPLORE.EXE(auch in groß geschrieben) nach einigem nachforschungen bei Google stieß ich auf einen Thread der meinem Problem sehr ähnlich war ,undzwar über einen Trojaner mit dem namen Lop.com ich besorgte mir von meinem Vater das programm Spyware Doctor und dieser zeigte mir oben benannten Trojaner auch an . Ich entfernte ihn nur leider verschaffte dies nur kurzzeitig besserung.... denn am darauf folgenden Tag erschienen die beiden Prozesse erneut ,dazu tauchten 2 weitere dateien auf namens Linkbo~1.exe und Fileda~1.exe .Nach kuzem stieß ich auf dieses Forum benutze die Suchfunktion bei der ich allerdings nichts ''genau''zutreffendes fand
falls benötig könnte ich einen Hijackthis logfile anbieten

zu meinem System ...
Windows XP SP 2
Antiviren Tools sind auch vorhanden undzwar:
Avira Antivir
Spybot S&D
Ad-Aware
(meines wissens auf dem neusten Stand)
Ich hoffe mal das das für's erste reicht und bitte um Hilfe

Bedanke mich im vorraus für die Hilfe

Hallo Dummbatz,

mach bitte zuerst alle versteckten Dateien und Ordner sichtbar.

Dann erstelle bitte ein Hijackthis Log nach dieser Anleitung
http://www.trojaner-board.de/17493-a...ijackthis.html
(es gibt die Anleitung auch als PDF zum Download ganz unten im Text)
benenne aber vor dem scannen die Hijackthis.exe um in z.B. This.exe.
Poste das erstellte Log, dann sehen wir weiter.

MFG

Danke für die schnelle antwort , und ich hoffe ich habe die beschreibenen schritte richtig ausgeführt.

zu meinem logfile
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\This.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.***.com/
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{EDF125BF-405E-4FE5-95B3-5E49ED5557F2}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: Ad-Aware 2007 Service (aawservice) - Unknown owner - F:\aawservice.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - F:\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - F:\Spyware Doctor\swdsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
Ich hoffe das Hilft weiter (Es würde mich doch recht missmutig stimmen sollte ich die Feiertage ohne meinen Heimcomputer verbringen müssen )

mit freundlichen Grüßen der Forum Neuling

Hallo

Zitat:

Zitat von nochdigger (Beitrag 311666)

mach bitte zuerst alle versteckten Dateien und Ordner sichtbar.

hast du was vergessen:rolleyes:?

und poste bitte auch noch den Kopf des Hijackthis Logs, der sieht etwa so oder ähnlich aus

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 17:58:18, on 23.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Arbeite zum bitte diese Anleitung zum Swizzor entfernen ab.
Die relevanten Einträge hast selbst schon beschrieben

Zitat:

dazu tauchten 2 weitere dateien auf namens Linkbo~1.exe und Fileda~1.exe

Wenn du Probleme bei der Anleitung haben solltest, melde dich dann versuchen wir etwas anderes.

Poste nach der Bereinigung ein frisches (komplettes) Hijackthis Log.

MFG

Vielen dank !

Die Anleitung zum entfernen des Swizzor scheint bestens zu funktionieren denn
nachdem ich die Anleitung meines wissenstandes möglich durchgeführt habe ,scheint sich der Schädling verflüchtigt zu haben
Zur Sicherheit hier nochmal der hoffentlich diesmal komplette log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:42:45, on 24.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\This.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.***.com/
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{EDF125BF-405E-4FE5-95B3-5E49ED5557F2}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: Ad-Aware 2007 Service (aawservice) - Unknown owner - F:\aawservice.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - F:\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - F:\Spyware Doctor\swdsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

vielen Dank für die schnelle Hilfe scheint ein sehr nettes Forum zu sein ,
werde es gern meinen Freunden weiter empfehlen
Hätte Übrigens gerne einige Fachmann Tips um eine neu Infizierung zu verhindern

P.S: Das kleine maleur mit den versteckten Ordnern basierte auf meiner unwissenheit, da ich bis zu dem netterweise geposteten Link nicht wusste wie ich dieses anstellen sollte

Erneut vielen Dank für die Hilfe

(Schreibfehler sind vom author beabsichtigt und dienen der allgemeinen belustigung )

Huhu,

nochn kurzer Nachtrag von mir:

Diese "Lop.com"...Als was wurde die vom Spyware Doctor angezeigt? Also der Name...

Und war zum Zeitpunkt als du den letzeren HJT-Scan gemacht hast dein Firefox offen?

Bei mir wurde dieser trojaner (oder was immer es war) vom spyware doctor lediglich mit ''Lop.com'' betitelt genaueres weiß ich leider nichtmehr ....
Zum zweiten punkt ja mein Broweser war zu diesem zeitpunkt offen da ich die Anleitung im unten geposteten Link versuchte zu befolgen .

Feiertags Hektik macht mich immer ein wenig vergesslich

Hallo

Zitat:

vielen Dank für die schnelle Hilfe scheint ein sehr nettes Forum zu sein

Wir haben auch schon kritischere Stimmen gehört:rolleyes:

Zitat:

Hätte Übrigens gerne einige Fachmann Tips um eine neu Infizierung zu verhindern

Das angemessene Verhalten...aber lies mehr hier dazu
Kompromittierung unvermeidbar?

MFG

Zitat:

Zitat von nochdigger (Beitrag 311760)

Hallo

Wir haben auch schon kritischere Stimmen gehört:rolleyes:

Das angemessene Verhalten...aber lies mehr hier dazu
Kompromittierung unvermeidbar?

MFG

HAllo erst mal

also ich hab das problem das andauernd websites von tschibo,quelle,u.s.w.
auftauchen und internet explorer fordert mich auf software runterzuladen(die mein pc schneller machen) ich vertraue diesen sites nicht und klicke auf schließen dann startet automatisch ein download(ich hab ihn nicht gestartet)
bei dem ich abbrechen klicke und dann findet antivir PE einen trojaner
http://www.comfyland.com/educational_toys/?sale=EUR&id=158_16_3_23&utm_source=ZMD&utm_medium=CPA&utm_term=ZMD-KW-home_5712241658
dieser link zumbeispiel kommen ohne das ich etwas mache
ich dachte es liegt am pc doch wir hatten besuch die hatten ein laptop mit
auf dem laptop sind die selben sites aufgetaucht liegt das am netzwerk?
bitte helft mir
wenn es erlaubt ist e-mail anzugeben hier:selimdincer@hotmail.de
bitteeee helft mir
ach ja und eines der proggramme heißt festplattencleaner:pfui:
und ich hab alle sofware hier auf der website runtergeladen
ps.nichts hat geholfen

Hallo nochmal
Werde nun in den folgenden Tagen mal alles plattmachen um die im Link beschriebenen Ratschläge anzuwenden

Nun hätte ich aber noch eine letze Frage ....
wäre es sinnvoll ein anderes System (linux/ ähnliches) zu verwenden ,da mir zu Ohren kahm das diese Systeme von mehreren Programmierern weiter entwickelt werden . Mein bedenken in dieser sache ist das einige Programme / Computerspiele auf diesem System nicht funktionieren. ist meine angst berechtigt ?

freundliche grüße der Forum Neuling