Ich habe seit ein paar Tagen folgendes Problem:

Im TaskManager unter laufende Prozesse ist immer der IEXPLORE gelistet obwohl ich ihn nicht geöffnet habe.
Wenn ich meine Internetverbindung schließe, werde ich immer gefragt ob ich ONLINE oder OFFLINE arbeiten möchte.
Daraufhin beende ich den IEXPLORE im TaskManager. Wenige Sekunden später steht er allerdings wieder im TaskManager.

mein Hijack file sieht wie folgt aus:

c:\programme\internet explorer\iexplore.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe
C:\Programme\SpywareBlaster\spywareblaster.exe
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\hijackthis\HijackThis.exe

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NAV_Update] C:\NAV_Update.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [svchost] "C:\WINDOWS\WinTypes\svchost.exe"
O4 - HKLM\..\Run: [Driver Config] C:\WINDOWS\System32\DrvConfig32.exe
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Print] C:\WINDOWS\System32\spool33.exe
O4 - HKLM\..\Run: [Ad-aware] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe" +c
O4 - HKLM\..\RunOnce: [*Print] C:\WINDOWS\System32\spool33.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Driver Config] C:\WINDOWS\System32\DrvConfig32.exe
O4 - HKCU\..\Run: [Print] C:\WINDOWS\System32\spool33.exe
O4 - HKCU\..\RunOnce: [*Print] C:\WINDOWS\System32\spool33.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-18.cab
O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/inst...l/pinstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3AD0FB6-AA54-4B27-BF8B-870E3B56F954}: NameServer = 62.104.191.241 62.104.196.134
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe


Wer kann mir sagen was das ist, und was ich dagegen tun kann?

Die folgenden Dateien bitte online bei http://virusscan.jotti.org/de/ überprüfen und das Ergebnis posten:

Zitat:

C:\WINDOWS\WinTypes\svchost.exe
C:\WINDOWS\System32\spool33.exe
C:\WINDOWS\System32\DrvConfig32.exe

Scheinbar habe ich ein Problem.

Wie bekomme ich das Zeuch jetzt wieder weg?


Hier die ergebnisse:

Datei: svchost.exe
Status: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.) (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden (0.85 Sekunden)
Avast Keine Viren gefunden (3.02 Sekunden)
AVG Antivirus Keine Viren gefunden (2.04 Sekunden)
BitDefender Keine Viren gefunden (2.10 Sekunden)
ClamAV Keine Viren gefunden (2.73 Sekunden)
Dr.Web Keine Viren gefunden (2.77 Sekunden)
F-Prot Antivirus Keine Viren gefunden (0.25 Sekunden)
Fortinet Keine Viren gefunden (1.47 Sekunden)
Kaspersky Anti-Virus Keine Viren gefunden (2.77 Sekunden)
mks_vir Keine Viren gefunden (0.41 Sekunden)
NOD32 Keine Viren gefunden (1.06 Sekunden)
Norman Virus Control Keine Viren gefunden (1.61 Sekunden)




Datei: DrvConfig32.exe
Status: VIELLEICHT INFIZIERT/MALWARE
Entdeckte Packprogramme: PE_PATCH.MORPHINE

AntiVir Keine Viren gefunden (0.47 Sekunden)
Avast Keine Viren gefunden (1.51 Sekunden)
AVG Antivirus Keine Viren gefunden (0.54 Sekunden)
BitDefender Backdoor.Bifrose.D (0.54 Sekunden)
ClamAV Keine Viren gefunden (0.64 Sekunden)
Dr.Web Keine Viren gefunden (1.05 Sekunden)
F-Prot Antivirus Keine Viren gefunden (0.46 Sekunden)
Fortinet Keine Viren gefunden (0.49 Sekunden)
Kaspersky Anti-Virus Keine Viren gefunden (1.65 Sekunden)
mks_vir Keine Viren gefunden (0.26 Sekunden)
NOD32 Keine Viren gefunden (0.62 Sekunden)
Norman Virus Control Keine Viren gefunden (6.98 Sekunden)


Datei: spool33.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: PE_PATCH.MORPHINE

AntiVir Keine Viren gefunden (0.46 Sekunden)
Avast Keine Viren gefunden (1.52 Sekunden)
AVG Antivirus Keine Viren gefunden (0.53 Sekunden)
BitDefender Trojan.Spy.Flux.A (0.53 Sekunden)
ClamAV Keine Viren gefunden (0.61 Sekunden)
Dr.Web Keine Viren gefunden (0.95 Sekunden)
F-Prot Antivirus Keine Viren gefunden (0.13 Sekunden)
Fortinet Keine Viren gefunden (0.48 Sekunden)
Kaspersky Anti-Virus Keine Viren gefunden (1.07 Sekunden)
mks_vir Keine Viren gefunden (0.43 Sekunden)
NOD32 Keine Viren gefunden (0.51 Sekunden)

Ich hab mir sowas fast gedacht. Da hat sich jemand durchaus Mühe gegeben und dir einige RATs (Backdoors) untergeschoben. Die benutzen den IE um sich ins Internet einzuwählen.
=> Dein System ist als kompromittiert anzusehen und sollte neu aufgesetz werden! -> Anleitung

Beachte auch folgendes:

Zitat:

# System sofort von allen Netzwerkverbindungen (LAN, Internet etc.) trennen.
# Evtl. den gesamten Inhalt der Systemdatenträger sichern, um im Falle eines straf-/ zivilrechtlichen Vorgehens Beweise zu haben. Für die meisten Heimanwender dürfte dies aber nicht nötig sein. Eine Ausnahme bildet der Fall, dass man einen sog. ,,Dialer``installiert hat. Hier sollte man auf jeden Fall eine Vollsicherung durchführen. Falls man vermutet, dass auch schon Kosten angefallen sind, sollte man evtl. sogar den gesamten Rechner als Beweismittel zur nächsten Polizeidienststelle bringen und Anzeige erstatten.

Quelle: http://faq.underflow.de/


btw: wäre es dir evtl. möglich, die Dateien bei www.malwareupload.com hochzuladen?

Um eine Neuinstallation komme ich nicht herum?

Warum eine einfache "Bereinigung" nicht ausreicht, kannst du auf diesen Seiten nachlesen:
erstens, zweitens und drittens.

btw: Du solltest mal überlegen, wer dir die Backdoors untergeschoben hat!


PS: lesenswerte Lektüre:
http://www.heise.de/newsticker/meldung/57030
http://www.trojaner-board.com/showthread.php?t=14669

Zu dem Thema gibts wirklich nicht einen hiflreichen link im Netz, darum hab ich mir mal die Mühe gemacht das Problem auch so zu beseitigen, ohne direkt meine Jahrelange Arbeit formatieren zu müssen ;) !!

Schritt 1: Ab in den abgesicherten Modus !! (Für Nichtkenner: während des Hochfahrens F8 drücken)

Schritt 2: Suchfunktion öffnen: nach "Team lite", und nach "Dash Plus" suchen. Beide Exe Dateien löschen (das sind die unruhestifter). Dann in C: > Dokumente und Einstellungen > Euer Profil > Anwendungsdaten: Da den Ordner mfcdhideroam löschen. Falls er bei euch anders heisst, einfach mal durchschauen was Euch da nicht bekannt vorkommt und was sich komisch anhört und wo solche exe Dateien wie "intrasecondbend" drinne sind und gnadenlos löschen.

Schritt 3: Entweder über "Ausführen": "regedit" eingeben oder mit einem Programm wie Regcleaner nach Registryeinträgen suchen, die Team Lite, Intrasecondbend oder Dash Plus (Dash+) enthalten und löschen.

Schritt 4: Einfach zur Sicherheit nochmal über "Ausführen" einmal "msconfig" eingeben. Dort auf die hinterste Kartei gehen und nochmal schauen ob dort etwas wie Team Lite oder Dash Plus beim Windowsstart mitgestartet wird. Die dann einfach deaktivieren. Wer sich dort ein bisschen auskennt, wird wahrscheinlich direkt noch zich andere Sachen entdecken die man direkt mitauschalten kann, weil man sie beim Windows Start nicht braucht.

Schritt 5: Einmal den Papierkorb leeren.

Schritt 6: > Arbeitsplatz > Eure Festplatte (z.B. C:) > Windows > Prefetch > und dort nochmal nach einträgen mit Team Lite, Intrasecondbend und Dashplus suchen und rauslöschen.

Schritt 7: Nochmal in der Suchfunktion nach Team Lite, Dash Plus und intrasecondbend suchen und alles löschen was ihr mit diesen Namen findet (werden hauptsächlich Prefetch Dateien sein die übrigens auch !!WICHTIG!! auf gegebenfalls euern anderen festplatten landen, also nicht nur C: durchsuchen sondern sämtliche Festplatten)

Schritt 8: Nochmal den Papierkorb leeren und ihr solltet fertig sein. Ich hab übrigens auch direkt sämtliche Netpumper und die dazugheörigen Plugin Datein und Registryeinträge gelöscht, da habter euch nämlich vermutlich diese Scheisse eingefangen. Habs gestern mal wieder festgestellt als ich Netbumper installiert habe und zack, waren die iexplore.exe wieder da.




Liebe Grüße, Euer NatureFreak

Hallo,
das von dir beschriebene Problem hat nichts mit dem des Threaderstellers(vor über einem Jahr!) zu tun, du hattest Swizzor.
Leider ist die von dir beschriebene Anleitung nicht wirklich hilfreich, da die Namen der Dateien und Ordner völlig zufällig gewählt werden.
Ansonsten kann bei dem Problem diese Anleitung abgearbeitet werden.


Grüße Wildone

Also ich hatte es zweimal drauf und jedesmal warens die gleichen Bezeichnungen, aber macht ja nix, dann hat der Thread jetzt wenigstens mal den Sinn das man als Laie auch mal was zu dem Thema findet und nicht erst herrausfinden muss das das Ding Swizzor heisst um was brauchbares zu finden ;) !!

Hab mir grad auch mal Deine Anleitung durchgelesen, sieht gut aus, auch wenn für Laien vielleicht etwas kompliziert. Aber was hat es denn mit dieser .job Datei auf sich?? Hab ich die schon durch einen anderen Schritt beseitigt oder erstellt sich die Datei garnicht zwangsläufig ??

Schon mal Danke!

Der NatureFreak

Hallo,
ja die job Datei, die scheint wohl nicht immer abgelegt zu werden, ich kann ja mal einen Versuch mit dir machen, kopiere mal folgendes:

Code: Alles auswählenAufklappen

ATTFilter

dir %Windir%\tasks /a h > files.txt
notepad files.txt
         

in den Texteditor (Start>>Programme>>Zubehör>>Editor) und speichere es als job.bat auf dem Desktop, dann führst du sie aus und postest was erscheint.

Zitat:

wenn für Laien vielleicht etwas kompliziert.

Hmm, ich habe extra versucht es einfach zu halten, aber dadurch das keine Dateinamen und Ordner fix sind ist das gar nicht so einfach.

Zitat:

und nicht erst herrausfinden muss das das Ding Swizzor heisst um was brauchbares zu finden

Diejenigen die ihn über ein AV finden, haben den Namen schon, die finden die anleitung dann recht einfach.


Grüße Wildone

Verzeichnis von C:\WINDOWS\tasks

11.07.2006 23:38 <DIR> .
11.07.2006 23:38 <DIR> ..
12.07.2006 13:00 250 B1D19B0093120E6C.job
29.08.2002 14:00 65 desktop.ini
23.06.2006 20:14 504 Norton AntiVirus - Meinen Computer pr�fen.job
16.06.2006 17:30 404 Norton SystemWorks One Button Checkup.job
12.07.2006 12:33 6 SA.DAT
12.07.2006 13:36 340 Symantec NetDetect.job
6 Datei(en) 1.569 Bytes



Was ist ein AV ?? Ein Antivirenprog ?? Kann man vergessen, hab so ziemlich alles drüber laufen lassen, Ad-Aware, Spybot, Norton, Antivir, haben alle nix gefunden.

Ich weiss was Du meinst, dass es schwer zu beschreiben ist wenn die Ordner oder exe Dateien immer anders heissen, aber z.B. hiermit:

"hr mit HijackThis noch die jeweiligen O2 und O4 Einträge und, falls vorhanden, einen R1/R0 Eintrag der folgendermaßen aussieht:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.ktqiyvfudnpyyjefgkwps.net/V6mVQg00TdIVfw/eyPEwBsSNByJ6INmtFOBkQhZTjKezSt4pixNYZXV24zqMkTzU. html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.dfkeguzhmpf.biz/V6mVQg00TdI7SCuHe9XeVKra9janNgcSAMfVLleE0yM.html"

kann ich noch nicht ma was mit anfangen ^^

Hallo,

Zitat:

aber z.B. hiermit:
"hr mit HijackThis noch die jeweiligen O2 und O4 Einträge und, falls vorhanden, einen R1/R0 Eintrag der folgendermaßen aussieht:
.
kann ich noch nicht ma was mit anfangen ^^

Also erstmal liegt die Betonung auf "falls vorhanden" die betreffenden O2 und O4 Einträge muss man vorher im HijackThis Log identifizieren, wenn jemand im Forum fragt suche ich die auch schnell für ihn raus.

Zitat:

12.07.2006 13:00 250 B1D19B0093120E6C.job

Wir der Eintrag nicht unter C:\Windows\Tasks angezeigt?

Zitat:

Was ist ein AV ??

Ja, ist ein Antivirenprogramm, normalerweise wird der Swizzor auch erkannt, vielleicht ist er umgeschrieben worden, os dass die Erkennung für die AVs nicht so einfach ist. Ev. haben auch Netpumper (Messenger3Plus usw.) dagegen geklagt das ihr "Sponsorenprogramm" als Trojaner bezeichnet wird, wer weiß.


Grüße Wildone

Zitat:

Zitat von Wildone

Wir der Eintrag nicht unter C:\Windows\Tasks angezeigt?

Nee, hat mich grad auch schon gewundert. Oder kann es sein das man die Datei nur im abgesicherten sieht ?! Hab ich sonst noch ne Möglichkeit die Datei aufzuspüren ??

Zitat:

Zitat von Wildone

Ja, ist ein Antivirenprogramm, normalerweise wird der Swizzor auch erkannt, vielleicht ist er umgeschrieben worden, so dass die Erkennung für die AVs nicht so einfach ist. Ev. haben auch Netpumper (Messenger3Plus usw.) dagegen geklagt das ihr "Sponsorenprogramm" als Trojaner bezeichnet wird, wer weiß.

Grüße Wildone

^^ Ja, dat würd ich denen auch noch zutrauen. Naja, aber das war halt das was ich eben meinte, man findet den Namen nicht so leicht raus, hab ihn z.B. eben von Dir das erste mal gehört ;) !! Die meisten die das Problem auch haben, werden also vermutlich genau wie ich sowas wie "iexplore.exe taskmanager" bei google eingeben und dann als erstes diese Seite hier finden. Was ja dann jetzt auch ganz sinnvoll ist ^^


Grüße NatureFreak

Hallo,
schau mal ob sie im abgesicherten Modus angezeigt wird, würde mich interessieren (denke aber eher nicht).

Falls nicht lösche sie folgendermaßen:
Folgendes in den Texteditor kopieren:

Code: Alles auswählenAufklappen

ATTFilter

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h B1D19B0093120E6C.job
del B1D19B0093120E6C.job
         

auf den Desktop als nojob.bat abspeichern und ausführen.
Das sollte es dann gewesen sein.
Aber so dramatisch ist es übrigens nicht wenn die job Datei übrig bleibt, alleine kann sie keinen SChaden anrichten.



Grüße Wildone

Alles klar, dann mal danke für die vielen Antworten und einen angenehmen Tag noch