Ich habe seit ein paar Tagen folgendes Problem:

Im TaskManager unter laufende Prozesse ist immer der IEXPLORE gelistet obwohl ich ihn nicht geöffnet habe.
Wenn ich meine Internetverbindung schließe, werde ich immer gefragt ob ich ONLINE oder OFFLINE arbeiten möchte.
Daraufhin beende ich den IEXPLORE im TaskManager. Wenige Sekunden später steht er allerdings wieder im TaskManager.

mein Hijack file sieht wie folgt aus:

c:\programme\internet explorer\iexplore.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe
C:\Programme\SpywareBlaster\spywareblaster.exe
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\hijackthis\HijackThis.exe

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NAV_Update] C:\NAV_Update.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [svchost] "C:\WINDOWS\WinTypes\svchost.exe"
O4 - HKLM\..\Run: [Driver Config] C:\WINDOWS\System32\DrvConfig32.exe
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Print] C:\WINDOWS\System32\spool33.exe
O4 - HKLM\..\Run: [Ad-aware] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe" +c
O4 - HKLM\..\RunOnce: [*Print] C:\WINDOWS\System32\spool33.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Driver Config] C:\WINDOWS\System32\DrvConfig32.exe
O4 - HKCU\..\Run: [Print] C:\WINDOWS\System32\spool33.exe
O4 - HKCU\..\RunOnce: [*Print] C:\WINDOWS\System32\spool33.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-18.cab
O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/inst...l/pinstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3AD0FB6-AA54-4B27-BF8B-870E3B56F954}: NameServer = 62.104.191.241 62.104.196.134
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe


Wer kann mir sagen was das ist, und was ich dagegen tun kann?

Die folgenden Dateien bitte online bei http://virusscan.jotti.org/de/ überprüfen und das Ergebnis posten:

Zitat:

C:\WINDOWS\WinTypes\svchost.exe
C:\WINDOWS\System32\spool33.exe
C:\WINDOWS\System32\DrvConfig32.exe

Scheinbar habe ich ein Problem.

Wie bekomme ich das Zeuch jetzt wieder weg?


Hier die ergebnisse:

Datei: svchost.exe
Status: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.) (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden (0.85 Sekunden)
Avast Keine Viren gefunden (3.02 Sekunden)
AVG Antivirus Keine Viren gefunden (2.04 Sekunden)
BitDefender Keine Viren gefunden (2.10 Sekunden)
ClamAV Keine Viren gefunden (2.73 Sekunden)
Dr.Web Keine Viren gefunden (2.77 Sekunden)
F-Prot Antivirus Keine Viren gefunden (0.25 Sekunden)
Fortinet Keine Viren gefunden (1.47 Sekunden)
Kaspersky Anti-Virus Keine Viren gefunden (2.77 Sekunden)
mks_vir Keine Viren gefunden (0.41 Sekunden)
NOD32 Keine Viren gefunden (1.06 Sekunden)
Norman Virus Control Keine Viren gefunden (1.61 Sekunden)




Datei: DrvConfig32.exe
Status: VIELLEICHT INFIZIERT/MALWARE
Entdeckte Packprogramme: PE_PATCH.MORPHINE

AntiVir Keine Viren gefunden (0.47 Sekunden)
Avast Keine Viren gefunden (1.51 Sekunden)
AVG Antivirus Keine Viren gefunden (0.54 Sekunden)
BitDefender Backdoor.Bifrose.D (0.54 Sekunden)
ClamAV Keine Viren gefunden (0.64 Sekunden)
Dr.Web Keine Viren gefunden (1.05 Sekunden)
F-Prot Antivirus Keine Viren gefunden (0.46 Sekunden)
Fortinet Keine Viren gefunden (0.49 Sekunden)
Kaspersky Anti-Virus Keine Viren gefunden (1.65 Sekunden)
mks_vir Keine Viren gefunden (0.26 Sekunden)
NOD32 Keine Viren gefunden (0.62 Sekunden)
Norman Virus Control Keine Viren gefunden (6.98 Sekunden)


Datei: spool33.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: PE_PATCH.MORPHINE

AntiVir Keine Viren gefunden (0.46 Sekunden)
Avast Keine Viren gefunden (1.52 Sekunden)
AVG Antivirus Keine Viren gefunden (0.53 Sekunden)
BitDefender Trojan.Spy.Flux.A (0.53 Sekunden)
ClamAV Keine Viren gefunden (0.61 Sekunden)
Dr.Web Keine Viren gefunden (0.95 Sekunden)
F-Prot Antivirus Keine Viren gefunden (0.13 Sekunden)
Fortinet Keine Viren gefunden (0.48 Sekunden)
Kaspersky Anti-Virus Keine Viren gefunden (1.07 Sekunden)
mks_vir Keine Viren gefunden (0.43 Sekunden)
NOD32 Keine Viren gefunden (0.51 Sekunden)

Ich hab mir sowas fast gedacht. Da hat sich jemand durchaus Mühe gegeben und dir einige RATs (Backdoors) untergeschoben. Die benutzen den IE um sich ins Internet einzuwählen.
=> Dein System ist als kompromittiert anzusehen und sollte neu aufgesetz werden! -> Anleitung

Beachte auch folgendes:

Zitat:

# System sofort von allen Netzwerkverbindungen (LAN, Internet etc.) trennen.
# Evtl. den gesamten Inhalt der Systemdatenträger sichern, um im Falle eines straf-/ zivilrechtlichen Vorgehens Beweise zu haben. Für die meisten Heimanwender dürfte dies aber nicht nötig sein. Eine Ausnahme bildet der Fall, dass man einen sog. ,,Dialer``installiert hat. Hier sollte man auf jeden Fall eine Vollsicherung durchführen. Falls man vermutet, dass auch schon Kosten angefallen sind, sollte man evtl. sogar den gesamten Rechner als Beweismittel zur nächsten Polizeidienststelle bringen und Anzeige erstatten.

Quelle: http://faq.underflow.de/


btw: wäre es dir evtl. möglich, die Dateien bei www.malwareupload.com hochzuladen?

Um eine Neuinstallation komme ich nicht herum?

Warum eine einfache "Bereinigung" nicht ausreicht, kannst du auf diesen Seiten nachlesen:
erstens, zweitens und drittens.

btw: Du solltest mal überlegen, wer dir die Backdoors untergeschoben hat!


PS: lesenswerte Lektüre:
http://www.heise.de/newsticker/meldung/57030
http://www.trojaner-board.com/showthread.php?t=14669

Zu dem Thema gibts wirklich nicht einen hiflreichen link im Netz, darum hab ich mir mal die Mühe gemacht das Problem auch so zu beseitigen, ohne direkt meine Jahrelange Arbeit formatieren zu müssen ;) !!

Schritt 1: Ab in den abgesicherten Modus !! (Für Nichtkenner: während des Hochfahrens F8 drücken)

Schritt 2: Suchfunktion öffnen: nach "Team lite", und nach "Dash Plus" suchen. Beide Exe Dateien löschen (das sind die unruhestifter). Dann in C: > Dokumente und Einstellungen > Euer Profil > Anwendungsdaten: Da den Ordner mfcdhideroam löschen. Falls er bei euch anders heisst, einfach mal durchschauen was Euch da nicht bekannt vorkommt und was sich komisch anhört und wo solche exe Dateien wie "intrasecondbend" drinne sind und gnadenlos löschen.

Schritt 3: Entweder über "Ausführen": "regedit" eingeben oder mit einem Programm wie Regcleaner nach Registryeinträgen suchen, die Team Lite, Intrasecondbend oder Dash Plus (Dash+) enthalten und löschen.

Schritt 4: Einfach zur Sicherheit nochmal über "Ausführen" einmal "msconfig" eingeben. Dort auf die hinterste Kartei gehen und nochmal schauen ob dort etwas wie Team Lite oder Dash Plus beim Windowsstart mitgestartet wird. Die dann einfach deaktivieren. Wer sich dort ein bisschen auskennt, wird wahrscheinlich direkt noch zich andere Sachen entdecken die man direkt mitauschalten kann, weil man sie beim Windows Start nicht braucht.

Schritt 5: Einmal den Papierkorb leeren.

Schritt 6: > Arbeitsplatz > Eure Festplatte (z.B. C:) > Windows > Prefetch > und dort nochmal nach einträgen mit Team Lite, Intrasecondbend und Dashplus suchen und rauslöschen.

Schritt 7: Nochmal in der Suchfunktion nach Team Lite, Dash Plus und intrasecondbend suchen und alles löschen was ihr mit diesen Namen findet (werden hauptsächlich Prefetch Dateien sein die übrigens auch !!WICHTIG!! auf gegebenfalls euern anderen festplatten landen, also nicht nur C: durchsuchen sondern sämtliche Festplatten)

Schritt 8: Nochmal den Papierkorb leeren und ihr solltet fertig sein. Ich hab übrigens auch direkt sämtliche Netpumper und die dazugheörigen Plugin Datein und Registryeinträge gelöscht, da habter euch nämlich vermutlich diese Scheisse eingefangen. Habs gestern mal wieder festgestellt als ich Netbumper installiert habe und zack, waren die iexplore.exe wieder da.




Liebe Grüße, Euer NatureFreak

Hallo,
das von dir beschriebene Problem hat nichts mit dem des Threaderstellers(vor über einem Jahr!) zu tun, du hattest Swizzor.
Leider ist die von dir beschriebene Anleitung nicht wirklich hilfreich, da die Namen der Dateien und Ordner völlig zufällig gewählt werden.
Ansonsten kann bei dem Problem diese Anleitung abgearbeitet werden.


Grüße Wildone

Also ich hatte es zweimal drauf und jedesmal warens die gleichen Bezeichnungen, aber macht ja nix, dann hat der Thread jetzt wenigstens mal den Sinn das man als Laie auch mal was zu dem Thema findet und nicht erst herrausfinden muss das das Ding Swizzor heisst um was brauchbares zu finden ;) !!

Hab mir grad auch mal Deine Anleitung durchgelesen, sieht gut aus, auch wenn für Laien vielleicht etwas kompliziert. Aber was hat es denn mit dieser .job Datei auf sich?? Hab ich die schon durch einen anderen Schritt beseitigt oder erstellt sich die Datei garnicht zwangsläufig ??

Schon mal Danke!

Der NatureFreak

hey leute,
hab erst jetzt endeckt das ich auch so einen prozess im hintergrund laufen habe.
Um anderen leuten davon zu berichten, dachte ich mir ich melde mich mal an verschiedenen foren an.

also um das problem loszuwerden einfach, Windows taste + R (ausführen)
und "regedit" eintippen, dann öffnet sich ein neues fensterun da nach "IEXPLORE" suchen; ggf. datei löschen; vorsicht ganau nachlesen das dies nicht der "IEXPLORER" (mit R am schluss is, dachte am anfang das is der internet explorer, so hab ich ihn kurzerhand deinstalliert, doch der prozess war noch immer vorhanden)

um etwaige fehler zu vermeiden auf -> start -> programme -> zuberhör -> systemprogramme -> Wiederherstellen -> einen wiederherstellungspunkt erstellen

damit könnten einige fehler leicht wieder behoben werden,

oder einfach einen ghost machen


(fake account bei spam.la) ich werde ihn wieder löschen

mfg CrankyTrojan
cu

hy,
wollte mal einen kleinen hinweis geben hatte auch den iexplorer im taskmanager laufen (62.876k) obwohl ich ihn nicht geöffnet hatte,, ich habe alles probiert ich haben mein systhem formatiert und alles wieder neu draufgespielt sowie auch messenger plus ich wusste ja nicht das es davon kommt, ich habe dann festgestellt das es vom messenger plus (msn erweiterungstool) kommt, da sich immer internet fenster öffneten und im fenster stand immer cid vorne dran da ich zufällig was deinstallieren wollte bin ich in die systhemsteuerung ..software gegangen, da habe ich gesehen das bei dem messenger plus in klammer stand (cid) ich habe dieses deinstalliert und das problehm war gelöst mein rechner läuft wieder schneller und stabieler

wollte mal wissen ob es geklappt hat

Hi,

zunächst: Der drei Jahre alte Beitrag am Anfang des Threads hatte komplett andere Probleme.

Ansonsten dürftest Du richtig liegen: Messenger Plus ist verseucht. Installiert einen Swizzor, Symptome sind u.a. zwei unsichtbar laufende Internet Explorer die sich nicht beenden klassen (bzw dann sofort neu gestartet werden), ein meist recht langsames System und Popups.

Gruß, Karl

Hallo, und zwar habe ich auch das Problem, nur das bei mir der iexplorer.exe nicht nur einmal sondern mmeist gleich über 10 mal auftaucht. habe aber nichts gefunden, was das auslösen könnte. wer kann mir nen tip geben, wie ich rausfinden kann, wodurch der gestartet wird.

schonmal vielen dank im voraus


Hab das Problem so gelöst, wie crankyTrojan es beschrieben hat. Habe das nicht gelesen gehabt.

Zitat:

Zitat von whiskey1987

Hallo, und zwar habe ich auch das Problem, nur das bei mir der iexplorer.exe nicht nur einmal sondern mmeist gleich über 10 mal auftaucht. habe aber nichts gefunden, was das auslösen könnte. wer kann mir nen tip geben, wie ich rausfinden kann, wodurch der gestartet wird.

schonmal vielen dank im voraus


Hab das Problem so gelöst, wie crankyTrojan es beschrieben hat. Habe das nicht gelesen gehabt.

ich habs auch probiert, alledings ohne erfolg. msn komplett runter,
regedit -> iexplore.exe.
5x gelöscht, tauchte aber im taskmanager immer aufs neue auf. am ende einfach mal in großschreibung.....
HILFE!!!!!