Hallo Allerseits !

Riesenproblem !
ich hab mir vor ein paar Tagen wohl so diverse Trojaner o.ä. eingefangen. Hab jetzt (so dachte ich) dank escan, housecall und HijackThis mein system wieder sauber. allerdings hab ich jetzt ein problem mit der explorer.exe...nach ein paar minuten laufzeit frisst das teil immer mehr und mehr speicher...
ich hab irgendwo gelesen dass die explorer.exe immer in windows\system 32 sein soll ?! bei mir ist sie direkt im windows ordner. kein gutes zeichen, oder ????
bitte um eure hilfe !

vorsichtshalber mal das hjt log anbei
lg
einbaerchen
Logfile of HijackThis v1.98.0
Scan saved at 01:04:09, on 03.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\DU Meter\DUMeter.exe
C:\WINDOWS\system32\fxssvc.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\kavss.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\Java\J2RE14~1.2_0\bin\java.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\RegSupreme\RegSupreme.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
D:\Eigene Dateien\Eigene Programme\setups\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - Global Startup: Mozilla Firefox (2).lnk = C:\Programme\Mozilla Firefox\firefox.exe
O4 - Global Startup: Zone Labs Security (2).lnk = C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O8 - Extra context menu item: Add to WebSite-Watcher - C:\Programme\WebSite-Watcher\wswie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll

Was wurde von den diversen Scannern gefunden und entfernt?
Die explorer.exe muss direkt im Windows-Verzeichnis laufen, so wie bei dir.
Poste ein Logfile mit der aktuellen Version 1.99.0 von HjT (www.hijackthis.de -> Direktdownload)

das waren so unendlich viel einträge. frag mich mal was ich da alles gelöscht habe, ich weiß es nicht mehr, waren ca 200 verseuchte dateien verteilt auf alle möglichen verzeichnisse, hauptsächlich in den system volume ordnern...
anbei der neue log file


Logfile of HijackThis v1.99.0
Scan saved at 01:21:55, on 03.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\DU Meter\DUMeter.exe
C:\WINDOWS\system32\fxssvc.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\kavss.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\Java\J2RE14~1.2_0\bin\java.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - Global Startup: Mozilla Firefox (2).lnk = C:\Programme\Mozilla Firefox\firefox.exe
O4 - Global Startup: Zone Labs Security (2).lnk = C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O8 - Extra context menu item: Add to WebSite-Watcher - C:\Programme\WebSite-Watcher\wswie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

hi @ all !!


prolem is noch immer aktuell !!
niemand ne idee ??

lg
baerchen

Hallo,

Zitat:

ich hab irgendwo gelesen dass die explorer.exe immer in windows\system 32 sein soll ?!

Das ist falsch! Würde sie sich dort befinden, dann wäre es Malware.
Die explorer.exe befindet sich im Ordner Windows also C:\Windows\explorer.exe, so wie es auch bei dir der Fall ist.

Dein Log-File ist soweit in Ordnung. Allerdings würde ich auch den Firefox verwenden, wenn du ihn schon installiert hast.

Hast du ein konkretes Problem oder nur diese Vermutung?

btw:
Du könntest mal das Virus Log Information des eScan posten, wenn sie noch vorhanden ist:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.