iexplore.exe startet automatisch hallo leute, habe mich hier angemeldet weil ich inzwischen recht verzweifelt bin alles hat gestern angefangen mit einer email von DHL von wegen datenbankcrash usw und nen link,ich mir nix bei gedacht - link angeklickt,adresse kontrolliert im firefox.adresse etwas merkwürdig,kurze weiterleitung über eine russische seite.da hats dann klick bei mir gemacht aber es war bereits zu spät. habe nun das problem das iexplore.exe dauerthaft an ist und sich automatisch startet.beenden über taskmanager bringt nix - startet paar sekunden später erneut.ansich richtet es nix an aber es will alle paar sekunden nach hause telefonieren.habe bereits iexplore.exe über meine firewall komplett blockiert und lasse die exe überwachen.daher kann ich einsehen wann,wie oft und wohin die exe telefonieren will. Remote: p5B0340D5.dip.t-dialin.net[91.3.64.213], port 3460 Deteils: Abgehend TCP, lokaler Port 1288 sobald ich eine aktion über meine tastatur ausführe wie zb. taschenrechner öffnen,einen song abspielen/pause usw. is es plötzlich so als ob mein pc eingefrohren ist,allerdings kann ich die maus noch bewegen aber nicht mehr klicken,taskmanager lässt sich öffnen aber ich kann nix machen. habe bereits etliches probiert wie zb. Hijack This,Malwarebytes' Anti-Malware, AntiVir, Ad-Aware, Online überprüfungen usw. nix schlägt an.habe auch im abgesicherten modus alle cookies gelöscht, den inhalt vom prefetch ordner gelöscht, temp datein gelöscht usw. in der registry hab ich auch geschaut aber nix verdächtiges gefunden. hier der log von Hijack This: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 04:48:08, on 10.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe D:\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE D:\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe C:\WINDOWS\system32\oodag.exe D:\OO CleverCache\ooccag.exe D:\Sunbelt Personal Firewall\SbPFSvc.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe D:\RocketDock\RocketDock.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe D:\Sunbelt Personal Firewall\SbPFCl.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Programme\Windows Live\Contacts\wlcomm.exe D:\Mozilla Firefox\firefox.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - D:\FlashGet universal\ComDlls\bhoCATCH.dll O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Programme\Windows Live\Messenger\wlchtc.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [GMX SMS-Manager] D:\GMX SMS-Manager\SMSMngr.exe O4 - HKCU\..\Run: [RocketDock] "D:\RocketDock\RocketDock.exe" O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\DAEMON Tools Lite\daemon.exe" -autorun O4 - S-1-5-18 Startup: 2D Stromsparmodus.lnk = ? (User 'SYSTEM') O4 - .DEFAULT Startup: 2D Stromsparmodus.lnk = ? (User 'Default user') O4 - Startup: 2D Stromsparmodus.lnk = ? O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Add to VideoGet - {88CFA58B-A63F-4A94-9C54-0C7A58E3333E} - D:\VideoGet\Plugins\VideoGet_IE.dll O9 - Extra 'Tools' menuitem: Add to &VideoGet - {88CFA58B-A63F-4A94-9C54-0C7A58E3333E} - D:\VideoGet\Plugins\VideoGet_IE.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: O&O CleverCache Agent (OOCleverCacheAgent) - O&O Software GmbH - D:\OO CleverCache\ooccag.exe O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - D:\Sunbelt Personal Firewall\SbPFSvc.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing) O24 - Desktop Component AutorunsDisabled: (no name) - (no file) -- End of file - 6280 bytes ich hoffe ihr habt irgendwie eine idee wie ich den schädling loswerde, ich vermute das es irgend ein neuer trojaner oder sonstiges ist. |
Das hörst sich gar nicht gut an. Offensichtlich scheint dein System kompromitiert. Vieleicht findet deine AV auch den Virus nicht, weil er mit einem rootkit einhergeht. Erklärung Rootkit: Der Begriff beschreibt ein kleines Tool, das sich in ein Betriebssystem eingräbt und dort als Deckmantel für weitere Programme dient. In einem Rootkit können sich Viren ebenso verstecken wie ausgefeilte Spionagetools. Das Perfide: Während diese Programme sonst von jedem Virenscanner früher oder später erkannt würden, fallen sie dem System dank der Tarnung durch das Rootkit nicht mehr auf. Erst wenn diese Tarnung fällt, ist der Virus verwundbar... Aber das ist jetzt erst mal Spekulation.... DRINGENDER HINWEIS VORWEG: KEIN ONLINEBANKING, EBAY etc. MEHR Falls du Onlinebanking machst, informiere deine Bank vor, halte dein Konto im Auge. Deaktiviere deinen Ebay account ( kannst du später neu aufsetzen ) Wenn du Zugriff auf einen anderen, sicheren Rechner hast, ändere deine Passwörter.... HINWEIS: kompromitierte Systeme sollten neu aufgesetzt und abgesichert werden http://www.trojaner-board.de/51262-a...sicherung.html Um den Virus zu entfernen, um sicher Backups zu machen oder obigen Hinweis aus diversen Gründen zu ignorieren, befolge folgende Schritte: Natürlich alles unter dem Hinweis das die ganze Sache auch schiefgehen kann und du um ein Neuaufsetzen nicht herumkommen wirst. Lade dir folgende Software herunter und installiere diese, bitte unternehme nichts auf eigene Faust sondern folge den folgenden Anweisungen. VORWEG: Die Reihenfolge sollte unbedingt eingehalten werden..... Code: Download von CCleaner Anleitung: CCleaner <----dl Link in der Erklärung...LESEN!!! Checken wir das Ganze erst mal von Anfang an. Gehe wie folgt vor, lass uns erst mal herausfinden wie deine DNS eingestellt sind: Code: Geh bitte auf START drücke hier einmal mit der linken Maustaste drauf und dann auf Eigenschaften. Schau in den Eintrag DNS Server . Ist der Eintrag DNS Server automatisch beziehen aktiviert oder siehst du darunter IP Nummern eingetragen? Dein System sollte die DNS eigentlich automatisch beziehen. Benutzt du zusätzlich einen Router? Punkt 1. Bitte deaktiviere deine Systemwiederherstellung: Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Diese sind in deinem Fall sowieso unbrauchbar.. Punkt 2. Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen ) Punkt 3. Dann wirst du CCleaner aktivieren und wie beschrieben vorgehen und zwar so lange bis das keine Fehler mehr angezeigt werden. Punkt 4. Aktiviere MBR.exe Lass es laufen und poste das Logfile hier. Punkt 5. Hiernach einen Malwarebytes Scan ( Full Scan ) und das Logfile hier posten.... Lasse zum Abschluß alle Funde löschen Punkt 5. Hiernach öffnest du Gmer und lässt bei diesem Programm ebenfalls einen Scan durchführen, poste das Logfile hier. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten. Bitte denke daran deine Logs die du hier postest in die Code tags zu setzen, z.B. [+Code] dazwischen das komplette Logfile [+/Code] Alles natürlich ohne die + Zeichen Ich brauche also: 1. den MBR Log 2. den MalwareBytes Log 3. den Gmer Log, den du bitte hochlädst. 4. Beantworte bitte alle meine Fragen Du brauchst: 1. Geduld :) Weiteres kommt dann nach diesen Logfiles von mir.....:daumenhoc |
erstmal großes dankeschön für deine mühe die du dir machst :daumenhoc aktueller zwischenstand: alles durchgeführt - DNS wird automatisch bezogen, router habe ich nicht sondern nur nen normales modem für den kabel-deutschland anschluss. - systemwiederherstellung ist deaktiviert - alle dateien sind sichtbar (hab ich standartmäßig an) - CCleaner komplett durchlaufen lassen,einige sachen gefunden und behoben - MBR.exe: Code: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net Code: Malwarebytes' Anti-Malware 1.34 |
sorry wegen doppelpost,aber kann meinen beitrag nich nochmal editieren :( habe das problem anscheinend selbst behoben bekommen.und zwar hab ich mir das aktuelle update pack von winfuture für mein sp3 geladen weil mein letztes update pack aus dezember ist.hab es dann installiert und pc neugestartet. da gings auch gleich los - firewall meldet ersetzte anwendung Internetexplorer -> ich dauerhaft blockiert. plötzlich meldung explorer.EXE reagiert nicht mehr usw. und drwatson (?) springt an, ich gleich geblockt durch firewall. explorer hat sich dann neu gestartet, ich im taskmanager krontrolliert was da grad abgeht und -> iexplore.exe war weg.pc neugestartet, erneut taskmanager kontrollier und iexplore.exe startet nicht mehr automatisch |
Herrje, das ist nicht gut. Hättest warten sollen. Ein Rootkit kann ich bei Gmer nicht erkennen. Dafür aber Sunbelt Firewall.... Hast du deine Windows Firewall nicht laufen? Wenn nicht, mach sie an, das sollte genügen...... Schalte mal Sunbelt ab, lass den CCleaner nochmal laufen und scanne nochmals mit Malwarebytes ( FULL SCAN bitte ). Poste Log hier. Ebenso brauche ich nochmal ein frisches Hijack this... |
Hijack This: Code: Logfile of Trend Micro HijackThis v2.0.2 musste mehrmals scannen und beheben,nun dürfte aber alles weg sein.waren hauptsälich cookies und uninstall logs glaube Malwarebytes: Code: Malwarebytes' Anti-Malware 1.34 |
Na, dass sieht ja soweit gut aus. Bitte lade folgende Files zum Virustotal hoch und lasse sie checken. Bitte poste die Ergebnisse vollständig mit Prüfsummen, Hash usw. ( letzte Einträge ) Lass auf jeden Fall checken, auch wenn dort steht das das File bereits analysiert wurde. Code: C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe Code: O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing) Falls du noch Probleme hast, (Problem hatte ich nach einem Virusbefall ebenfalls ) geh auf die Microsoft Seite, suche dort nach IE7 Download und installiere ihn nochmals über deine bestehende Installation. Das sollte das Problem beheben. ( Wähle Ausführen, nicht speichern. ) Leider kann ich dir den Link nicht liefern, bin an einem anderen Rechner..... Deinstalliere Ad Aware, das Ding ist Schrott. Stell den Avira auf agressive Einstellungen ( siehe hier Hinweis im Board ) Diese Einträge: O4 - S-1-5-18 Startup: 2D Stromsparmodus.lnk = ? (User 'SYSTEM') O4 - .DEFAULT Startup: 2D Stromsparmodus.lnk = ? (User 'Default user') Hast du dies selbst angelegt? ( das sind in der Regel Icons ) Wenn nicht, finde das Ding und lade es auch mal bei Virustotal hoch.... Danach lässt du nochmal CCleaner laufen ( ich weiss, ist mühselig) Danach sehen wir weiter..... |
CCC.exe Code: File size: 49152 bytes Code: File size: 104016 bytes Code: File size: 172544 bytes Code: File size: 598016 bytes Code: File size: 593920 bytes der ie7 macht jetz keine zicken mehr,taucht auch nicht mehr im taskmanager auf. die beiden einträge mit 2d stromsparmodus sind profile für das Catalyst Control Center die ich wegen meiner graka angelegt habe. |
Ok, du hast mir die letzten Einträge gezeigt, aber wie waren denn die Ergebnisse der Virenscanner. Alle negativ? Entschuldige meine nachfrage aber hast du im Hijack die beiden files angehackt UND auf fix this gedrückt? |
ergebnisse waren alle negativ und ja ich habe die haken gemacht und dann gefixt :) aber bei jedem erneuten scan sind die beiden einträge wieder da |
Hast du die Wiederherstellungskonsole deaktiviert gelassen? Falls nicht, deaktiviere sie und versuche erneut zu fixen... Andere Frage, kann es sein das du MalWarebytes hast vorher mal laufen lassen ohne das es geupdated war? Hat dann Malwarebytes dir das oder so ähnlich angezeigt? Infizierte Dateien: C:\Windows\system32\wextract.exe (Trojan.Vundo) wohlmöglich noch an anderen Orten? Falls ja, dann schau in die Quarantäne zu Malwarebytes und stelle das file wieder her. Das ist nämlich ein Fehlalarm auf den ich auch reingefallen bin. Ich habe hiernach die gleichen Fehlermeldungen erhalten.... |
hab die wiederherstellung schon deaktiviert,so wie es in der anleitung stand. mwb hab ich gleich nach dem ersten start aktualisiert,hab auch nicht solch eine meldung wie du sie beschrieben hast bekommen |
Alles klar, Hast du in deinem Explorer Fall auch diese Meldung erhalten? Code: Ein Anwendungsfehler ist aufgetreten und ein Post-Mortem-Abbild wird erstellt EXPLORER.EXE es wird kompliziert |
mhh also mir is nich so als ob ich solch eine meldung bekommen habe hier das aktuelle hijack this: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Lad dir bitte mal Loop S&D runter und lass das Programm laufen Wahle als Sprache Deutsch und als nachfolgende Option 1 Lehn dich zurück und geniesse das Farbenspiel :) Keine Angst wenn dein Destop verschwindet, ruf dann einfach den Taskmanager auf. das Log file wird unter C:\ LopR.txt gespeichert. Poste das dann bitte hier Hat dein System immer noch die erheblichen Auffälligkeiten? |
Alle Zeitangaben in WEZ +1. Es ist jetzt 18:55 Uhr. |
Copyright ©2000-2024, Trojaner-Board